¿Qué es el troyano KONNI? (08.15.25)

KONNI es un troyano de acceso remoto (RAT) que está fuertemente asociado con las agencias de inteligencia de Corea del Norte. Los investigadores de ciberseguridad pudieron establecer la conexión porque después de la prueba exitosa de 2017 de un misil balístico intercontinental por Corea del Norte, hubo un aumento en las campañas de spear phishing que hacen referencia a las capacidades adquiridas de Corea del Norte. Campañas similares de KONNI ocurrieron en 2014 y también llevaron a la conclusión de que KONNI es un arma de espionaje creada para cualquiera que esté interesado en los asuntos de Corea del Norte, especialmente sus programas de misiles nucleares y balísticos. Si bien no está claro cuál es el objetivo del malware, se puede concluir que se trata principalmente de perfilar las computadoras de las víctimas infectadas para identificar un objetivo para ataques más sostenidos. La mayoría de los objetivos de KONNI se encuentran en la región de Asia Pacífico.

¿Qué hace el troyano KONNI?

El malware KONNI infecta principalmente la computadora a través de un documento Word contaminado que llega a la mayoría de sus víctimas como un archivo adjunto de correo electrónico.

Mientras las víctimas están descargando el archivo, el malware se carga en segundo plano donde ejecuta su carga útil. Entonces, KONNI comienza su objetivo principal de reconocimiento y recopilación de información. Perfila la red de computadoras de una organización, captura capturas de pantalla, roba contraseñas, historial de navegación web y, en general, busca cualquier información que pueda obtener. Luego, la información se envía a un centro de comando y control.

El malware puede hacer esto creando un directorio de Windows en la carpeta de configuración local del usuario actual con la ruta MFAData \\ event. También extrae dos archivos DLL maliciosos, uno para el sistema operativo de 64 bits y otro para el sistema operativo de 32 bits. A continuación, crea un valor de clave llamado RTHDVCP o RTHDVCPE en la siguiente ruta de registro: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Esta ruta de registro se utiliza para la persistencia automática, dado que iniciará automáticamente un proceso después de iniciar sesión correctamente. Los archivos DLL que se crean así tienen varias capacidades básicas que incluyen registro de teclas, enumeración de hosts, recopilación de inteligencia, exfiltración de datos y creación de perfiles de host.

La información recopilada se utiliza para crear ataques que se ajusten al perfil de la víctima. Si KONNI infectara computadoras de objetivos de alto perfil, como computadoras militares de Corea del Sur o una institución financiera, las personas detrás de él pueden adaptar ataques específicos, incluidos ataques de espionaje o ransomware.

Cómo eliminar el troyano KONNI

su computadora ha sido infectada, ¿sabe qué hacer con el troyano KONNI?

La forma más sencilla de eliminar el troyano KONNI es utilizar una solución antimalware confiable como Outbyte Antivirus . Para usar el anti-malware, debe ejecutar su PC en modo seguro porque, como se señaló anteriormente, KONNI usa algunas técnicas de persistencia automática, incluida la manipulación de los elementos de inicio automático para incluirse a sí mismo.

Para Windows 10 y 7 usuarios, los siguientes son los pasos a seguir para ingresar al Modo seguro con funciones de red.

  • Abra la utilidad Ejecutar presionando Windows + R teclas del teclado.
  • Escriba msconfig y ejecute el comando.
  • Vaya a la pestaña Arranque y seleccione Arranque seguro y Red opciones.
  • Reinicie su dispositivo.

    • Una vez que su dispositivo se reinicie, inicie el anti-malware y déle tiempo suficiente para eliminar el virus.

    Si no tiene un anti-malware, siempre existe la opción de rastrear manualmente los archivos y carpetas que albergan el virus. La forma de hacerlo es abrir el Administrador de tareas presionando las teclas Ctrl, Alt y Eliminar en su teclado. En la aplicación Administrador de tareas, vaya a la pestaña Inicio y busque cualquier elemento de inicio sospechoso. Haz clic derecho sobre ellos y selecciona Abrir ubicación de archivo . Ahora, vaya a la ubicación del archivo y elimine los archivos y carpetas moviéndolos a la Papelera de reciclaje. Debería buscar la carpeta de eventos MFAData \\.

    La otra cosa que deberá hacer es reparar las entradas de registro dañadas y eliminar las que están asociadas con el malware KONNI. La forma más sencilla de hacerlo es implementar un limpiador de PC, ya que uno de los principales objetivos de la herramienta de reparación de PC es reparar las entradas de registro dañadas.

    Otro propósito que jugará la herramienta de reparación de PC es eliminar cualquier archivo basura, cookies, historial de navegación, descargas y la mayoría de los datos que los troyanos como KONNI envían a los ciberdelincuentes. En otras palabras, el uso de un limpiador de PC no solo reducirá el riesgo de reinfección, sino que también asegurará que, incluso si otro malware llegara a su dispositivo, no tendría mucho que robar.

    Si siguió las instrucciones anteriores, existe una alta probabilidad de que haya enfrentado directamente la amenaza de malware y lo único que queda ahora es protegerse contra futuras infecciones.

    Debe saber que el malware entidades como KONNI solo infectan computadoras si las víctimas son descuidadas con la forma en que manejan los archivos adjuntos de imágenes desconocidas. Si puede tomar precauciones adicionales y no descargar ningún archivo que se le presente, reducirá en gran medida el riesgo de infección.

    Por último, debe mantener su computadora actualizada con la mayor frecuencia posible. Las entidades de software malicioso como KONNI utilizan exploits que los proveedores de software, incluido Microsoft, actualizan constantemente.

    Video de Youtube: ¿Qué es el troyano KONNI?

    08, 2025