Kelompok Konni Korea Utara Menyebarkan Malware yang Dihasilkan AI yang Menargetkan Insinyur Blockchain

Sumber: CryptoNewsNet Judul Asli: Hacker Konni Targetkan Insinyur Blockchain dengan Malware AI Tautan Asli: Kelompok peretasan Korea Utara Konni kini menargetkan insinyur blockchain dengan malware yang dihasilkan kecerdasan buatan. Menurut laporan, kelompok peretas ini menyebarkan malware PowerShell yang dihasilkan AI untuk menargetkan pengembang dan insinyur di industri blockchain.

Kelompok peretas Korea Utara ini diduga telah beroperasi sejak setidaknya 2014 dan terkait dengan kluster aktivitas APT37 dan Kimusky. Kelompok ini telah menargetkan organisasi di seluruh Korea Selatan, Ukraina, Rusia, dan beberapa negara Eropa. Menurut analisis ancaman, kampanye terbaru menargetkan wilayah Asia Pasifik.

Mekanisme Serangan

Serangan dimulai dengan korban menerima tautan Discord yang mengirimkan arsip ZIP berisi umpan PDF dan file shortcut LNK berbahaya. LNK menjalankan loader PowerShell yang tertanam yang mengekstrak dokumen DOCX dan arsip CAB yang berisi backdoor PowerShell, file batch, dan executable bypass UAC.

Setelah file shortcut diluncurkan, dokumen DOCX terbuka dan menjalankan file batch. Dokumen umpan menunjukkan bahwa peretas bertujuan untuk mengompromikan lingkungan pengembangan guna mendapatkan akses ke aset sensitif, termasuk infrastruktur, kredensial API, akses dompet, dan kepemilikan aset digital.

File batch pertama membuat direktori staging untuk backdoor, sementara file batch kedua membuat tugas terjadwal setiap jam yang meniru tugas startup OneDrive. Tugas ini membaca skrip PowerShell yang dienkripsi XOR dari disk, mendekripsinya untuk dieksekusi di memori, dan kemudian menghapus dirinya sendiri untuk menghapus jejak infeksi.

Pengembangan Malware Bantu AI

Backdoor PowerShell menyembunyikan asal-usulnya menggunakan pengkodean string berbasis aritmatika dan rekonstruksi string saat runtime. Peneliti mengidentifikasi tanda-tanda pengembangan berbantu AI daripada malware yang ditulis secara tradisional, termasuk:

• Dokumentasi yang jelas dan terstruktur di bagian atas skrip (tidak biasa untuk malware)
• Tata letak kode yang bersih dan modular
• Kehadiran komentar placeholder seperti “# <-- UUID proyek permanen Anda”

Elemen-elemen ini umum terlihat dalam kode dan tutorial yang dihasilkan LLM, menunjukkan bahwa peretas Korea Utara menggunakan alat AI dalam pengembangan malware.

Eksekusi dan Command-and-Control

Sebelum dieksekusi, malware melakukan pemeriksaan perangkat keras, perangkat lunak, dan aktivitas pengguna untuk memastikan tidak berjalan di lingkungan analisis. Setelah diaktifkan di perangkat yang terinfeksi, malware menghubungi server command-and-control (C2) secara berkala untuk mengirim metadata host dan melakukan polling pada interval acak. Jika C2 berisi kode PowerShell, malware mengeksekusinya menggunakan pekerjaan latar belakang.

Serangan ini dapat dikaitkan dengan aktor ancaman Korea Utara Konni berdasarkan kemiripan format peluncur, nama umpan, dan tumpukan struktur rantai eksekusi dengan kampanye sebelumnya. Peneliti keamanan telah menerbitkan indikator kompromi untuk membantu pembela mengidentifikasi dan melindungi terhadap ancaman ini.