Průvodní kampaně při šíření tohoto malwaru operují především s tématy kolem Severní Koreje.
Bezpečnostní tým Cisco Talos odhalil celkem 4 kampaně dosud neobjeveného malwaru, který dostal jméno KONNI. Ten se dokázal úspěšně maskovat od roku 2014. Zpočátku se malware zaměřoval pouze na krádeže citlivých dat. Za 3 roky se ale několikrát vyvinul, přičemž jeho současná verze umožňuje útočníkovi z infikovaného počítače nejenom krást data, ale funguje také jako keylogger, zaznamenává screenshoty a je schopen v zařízení spustit libovolný kód.
KONNI se šířil e-mailem. Na rozdíl od velkých spamových kampaní, jako je například šíření ransomwaru Locky, cílil na přesněji vybrané cíle. Útočníci využívali i sociálního inženýrství, aby přiměli své oběti otevřít soubor ve formátu .scr a stáhnout si infikovaný soubor. Celkem 4 kampaně proběhly postupně v letech 2014, 2016 a dvě v roce 2017.
Kampaň 2014: Smrtící kráska
Během první kampaně, která běžela v září 2014, odesílali útočníci maily se souborem „beauty.scr.“ Účelem této kampaně bylo krást data z napadeného zařízení. K tomu využíval malware funkce pro mapování stisků klávesnice či pro získání údajů o profilech uživatele z prohlížečů Firefox, Chrome a Opera.
Kampaň 2016: Severní Korea vyhladí Manhattan vodíkovou bombou
V této kampani útočníci opět rozesílali soubor ve formátu .scr. Ten obsahoval 2 textové dokumenty, které informovaly o napjatých vztazích mezi Spojenými státy a Severní Koreou (jeden v angličtině, druhý v ruštině). Kromě dřívějších funkcí zahrnovala nová verze malwaru i nástroj pro vzdálenou správu.
Kampaně 2017: Zavolejte severokorejskému velvyslanci
V první letošní kampani došel vybraným uživatelům e-mail se souborem „Pyongyang Directory Group email April 2017 RCOfficeCoordination_Associate.scr“. Dokument ve formátu pro MS Word, který měl odlákat pozornost, obsahoval e-mailové adresy, telefonní čísla a další kontakty na členy organizací jako OSN či UNICEF a také na zástupce ambasád Severní Koreje. Tato verze malwaru KONNI byla pokročilejší a jeho konfigurace obsahovala funkci Command and Control. Útočníci tak mohli vzdáleně smazat vybraný soubor, nahrát nový, získat systémové informace či stáhnout do infikovaného zařízení soubor z internetu.
Ve druhé letošní kampani byl odeslán stejný typ malwaru jako v předchozí kampani. Lišil se ale soubor, kterým byla odvedena pozornost. Ten obsahoval kontakty na členy agentur, ambasád a organizací napojených na Severní Koreu. Lišil se také formát tohoto dokumentu – na rozdíl od předchozích verzí se otevíral v Excelu.
Tato poslední kampaň, která začala před pár dny, je stále aktivní.