利用谷歌Find Hub实施远程擦除

针对Android设备的攻击中，黑客组织首次利用谷歌资产追踪服务Find Hub（原 Find My Device）的合法管理功能，远程重置受害者设备，导致个人数据被非法删除。该活动最早于2025年9月初被发现。
攻击链始于鱼叉式钓鱼邮件，攻击者通过冒充韩国国税厅等合法机构，诱骗受害者打开恶意附件，从而投放Lilith RAT等远程访问木马。攻击者还会利用受害者已登录的KakaoTalk聊天会话，以ZIP压缩包形式向联系人分发恶意载荷。

GSC指出："攻击者在受感染电脑中潜伏超过一年，通过摄像头实施监控并在用户不在场时操作系统。在此过程中，初始入侵获取的访问权限可实现系统控制和额外信息收集，而规避战术则确保长期隐蔽。"Part02

多阶段恶意载荷部署机制

通过即时通讯应用传播的ZIP文件包含恶意Microsoft Installer（MSI包（"Stress Clear.msi"），该包滥用中国公司的有效签名制造合法假象。执行后会调用批处理脚本进行初始设置，并运行显示语言包兼容性虚假错误提示的VB Script，同时在后台执行恶意命令。
攻击者还部署了配置为每分钟运行的AutoIt脚本（通过计划任务实现），用于执行来自外部服务器（"116.202.99[.]218"）的指令。虽然该恶意软件与 Lilith RAT 存在相似性，但由于功能差异，安全研究员Ovi Liber将其命名为EndRAT（又名EndClient RAT）。
该恶意软件支持以下命令：

• shellStart：启动远程shell会话
• shellStop：停止远程shell
• refresh：发送系统信息
• list：列出驱动器或根目录
• goUp：返回上级目录
• download：外泄文件
• upload：接收文件
• run：在主机执行程序
• delete：删除主机文件

Part03

多款远控工具协同作战

Genians表示Konni APT组织还利用AutoIt脚本投放2025年9月10日发布的Remcos RAT 7.0.4版。受害者设备上还发现Quasar RAT和RftRAT（Kimsuky 组织 2023 年曾使用的木马）。韩国网络安全公司指出："这表明恶意软件专门针对韩国相关行动，获取相关数据并进行深入分析需要付出大量努力。"Part04

Lazarus组织新版Comebacker恶意软件曝光

ENKI 详细披露了Lazarus组织使用新版Comebacker恶意软件攻击航空航天和国防机构的情况。攻击使用伪装成空客、Edge Group和印度坎普尔理工学院的诱饵文档，当受害者启用宏时，内嵌的VBA代码会执行并投放诱饵文档，同时加载内存中的Comebacker。
ENKI在报告中称："攻击者使用高度定制的诱饵文档表明这是针对性极强的鱼叉式钓鱼活动。虽然目前尚无受害者报告，但截至本文发布时C2基础设施仍处于活跃状态。"Part05

Kimsuky采用新型JavaScript投放器

研究还发现Kimsuky在近期行动中使用的新型基于JavaScript的恶意软件投放器，显示该组织持续升级其恶意武器库。攻击始于初始JavaScript文件（"themes.js"），该文件会联系攻击者控制的基础设施获取更多能执行命令、窃取数据的JavaScript代码。

Pulsedive威胁研究团队在上周的分析中指出："由于 Word 文档为空且未在后台运行任何宏，这很可能只是诱饵。"

参考来源：

Konni Hackers Turn Google’s Find Hub into a Remote Data-Wiping Weapon

https://thehackernews.com/2025/11/konni-hackers-turn-googles-find-hub.html

文章来源：FreeBuf