Le groupe nord-coréen Konni déploie un malware généré par IA ciblant les ingénieurs en blockchain

2026-01-25 12:24:27

Source : CryptoNewsNet Titre original : Les hackers Konni ciblent les ingénieurs blockchain avec un malware IA Lien original : Le groupe de hackers nord-coréen Konni cible désormais les ingénieurs blockchain avec un malware généré par intelligence artificielle. Selon les rapports, le groupe de hackers déploie un malware PowerShell généré par IA pour cibler les développeurs et ingénieurs de l’industrie blockchain.

On pense que le groupe de hackers nord-coréen opère depuis au moins 2014 et est associé aux clusters d’activité APT37 et Kimusky. Le groupe a ciblé des organisations en Corée du Sud, en Ukraine, en Russie et dans plusieurs pays européens. Selon une analyse des menaces, la dernière campagne vise la région Asie-Pacifique.

Mécanisme de l’attaque

L’attaque commence lorsque les victimes reçoivent un lien Discord qui livre une archive ZIP contenant un appât PDF et un fichier raccourci LNK malveillant. Le fichier LNK exécute un chargeur PowerShell intégré qui extrait un document DOCX et une archive CAB contenant un porte-drapeau PowerShell, des fichiers batch et un exécutable de contournement UAC.

Après le lancement du fichier raccourci, le DOCX s’ouvre et exécute un fichier batch. Le document d’appât indique que les hackers visent à compromettre l’environnement de développement pour accéder à des actifs sensibles, notamment l’infrastructure, les identifiants API, l’accès au portefeuille et les avoirs en actifs numériques.

Le premier fichier batch crée un répertoire de mise en scène pour le porte-drapeau, tandis que le second crée une tâche planifiée horaire imitant la tâche de démarrage de OneDrive. La tâche lit un script PowerShell chiffré en XOR depuis le disque, le déchiffre pour une exécution en mémoire, puis se supprime pour effacer les traces d’infection.

Développement de malware assisté par IA

Le porte-drapeau PowerShell masque son origine en utilisant un encodage de chaîne basé sur des opérations arithmétiques et une reconstruction de chaîne en temps d’exécution. Les chercheurs ont identifié des signes d’un développement assisté par IA plutôt que d’un malware traditionnel, notamment :

Une documentation claire et structurée en haut du script (inhabituelle pour un malware)
Une mise en page du code propre et modulaire
La présence de commentaires de placeholder comme “# <-- votre UUID de projet permanent”

Ces éléments sont couramment observés dans du code et des tutoriels générés par LLM, suggérant que les hackers nord-coréens ont utilisé des outils d’IA dans le développement du malware.

Exécution et Commande et Contrôle

Avant l’exécution, le malware effectue des vérifications du matériel, du logiciel et de l’activité utilisateur pour s’assurer qu’il ne fonctionne pas dans des environnements d’analyse. Une fois activé sur un appareil infecté, le malware contacte périodiquement les serveurs de commandement et de contrôle (C2) pour envoyer des métadonnées de l’hôte et effectuer des sondages à intervalles aléatoires. Si le C2 contient du code PowerShell, il l’exécute en utilisant des tâches en arrière-plan.

Ces attaques peuvent être attribuées à l’acteur de menace nord-coréen Konni, en se basant sur des similitudes dans le format du lanceur, les noms d’appât et la structure de la chaîne d’exécution avec des campagnes antérieures. Les chercheurs en sécurité ont publié des indicateurs de compromission pour aider les défenseurs à identifier et à se protéger contre cette menace.

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.