Hacker sfruttano Google Find Hub per cancellare il contenuto degli smarthone

In un nuovo e allarmante scenario di cybercriminalità, la Corea del Sud si trova sotto attacco da parte di un gruppo di hacker nordcoreani noto come KONNI.

Questa organizzazione, già tristemente nota nel panorama internazionale della sicurezza informatica, ha messo in atto una campagna di attacchi che si distingue per l’elevato livello di sofisticazione e per la capacità di sfruttare strumenti e servizi apparentemente innocui per colpire sia utenti privati che realtà aziendali.

La strategia adottata da KONNI si basa su un approccio subdolo e ingannevole: gli aggressori si spacciano per rappresentanti di istituzioni autorevoli, come l’Amministrazione fiscale sudcoreana o le forze dell’ordine, sfruttando la fiducia che questi enti ispirano nella popolazione. Il canale privilegiato per la diffusione delle loro trappole digitali è KakaoTalk, la piattaforma di messaggistica istantanea più popolare nel Paese. Attraverso questa applicazione, gli hacker inviano messaggi apparentemente legittimi, che contengono file allegati camuffati da documenti ufficiali o informative urgenti.

Come agiscono gli hacker nordcoreani?

Dietro l’apparenza innocua di questi file si cela una minaccia concreta: si tratta di installer MSI malevoli, accuratamente progettati per eludere i controlli di sicurezza e installare malware sofisticati all’interno dei dispositivi delle vittime. Tra le minacce individuate spiccano RemcosRAT, QuasarRAT e RftRAT, strumenti di controllo remoto che consentono agli attaccanti di monitorare, manipolare e sottrarre dati sensibili senza che l’utente se ne accorga.

Una volta ottenuto l’accesso ai sistemi, i cybercriminali si concentrano sulla raccolta di credenziali di accesso, con particolare attenzione agli account Google e ai profili Naver, due dei servizi più utilizzati in Corea del Sud per la gestione della posta elettronica, dei dati personali e dei servizi cloud. L’aspetto davvero innovativo e preoccupante di questa campagna risiede però nell’utilizzo improprio di Google Find Hub, il noto servizio di localizzazione e gestione remota dei dispositivi Android. Gli hacker, infatti, sfruttano le funzionalità di questo strumento per cancellare da remoto gli smartphone delle vittime, spesso quando queste non sono fisicamente in possesso del proprio dispositivo.

In alcuni casi documentati, la cancellazione remota viene eseguita più volte consecutivamente, costringendo il dispositivo a ripristinarsi alle impostazioni di fabbrica e rendendo estremamente difficile, se non impossibile, il recupero dei dati originali. Questo modus operandi non solo provoca la perdita irreversibile di informazioni personali e professionali, ma complica anche le indagini forensi e le attività di ripristino.

L’attacco non si limita al singolo dispositivo compromesso. Una volta infiltratisi nel sistema, gli hacker sfruttano le sessioni attive di KakaoTalk sui computer delle vittime per diffondere ulteriori file malevoli ai contatti della rubrica, innescando un effetto domino che amplia rapidamente la portata della minaccia. In questo modo, la compromissione si estende in maniera esponenziale, mettendo a rischio reti aziendali, infrastrutture critiche e dati sensibili di un numero crescente di utenti.

Quali sono i rischi?

Gli esperti di sicurezza sottolineano come questa campagna rappresenti il primo caso documentato di utilizzo malevolo di Google Find Hub a fini distruttivi, evidenziando la necessità di una riflessione profonda sulla sicurezza dei servizi di gestione remota. La possibilità che strumenti concepiti per la protezione e la gestione dei dispositivi vengano trasformati in vere e proprie armi digitali è una minaccia concreta che richiede risposte tempestive e strategie di difesa avanzate.

Le conseguenze di questi attacchi sono molteplici e gravi: dalla perdita di dati personali e professionali, all’interruzione di servizi essenziali, fino alla potenziale compromissione di intere infrastrutture aziendali. Gli specialisti consigliano quindi di adottare misure di protezione rigorose, a partire dall’attivazione dell’autenticazione a due fattori su tutti gli account di rilievo, con particolare attenzione a quelli collegati a servizi cloud e dispositivi mobili.