Grupo norte-coreano Konni lança malware gerado por IA direcionado a engenheiros de blockchain

Fonte: CryptoNewsNet Título Original: Hackers Konni visam engenheiros de blockchain com malware de IA Link Original: O grupo de hackers norte-coreano Konni está agora direcionando engenheiros de blockchain com malware gerado por inteligência artificial. De acordo com relatos, o grupo de hackers está implantando malware PowerShell gerado por IA para atingir desenvolvedores e engenheiros na indústria de blockchain.

Acredita-se que o grupo de hackers norte-coreano esteja em operação desde pelo menos 2014 e esteja associado aos clusters de atividade APT37 e Kimusky. O grupo tem como alvo organizações na Coreia do Sul, Ucrânia, Rússia e vários países europeus. Segundo análises de ameaças, a última campanha tem como alvo a região da Ásia-Pacífico.

Mecanismo de Ataque

O ataque começa com as vítimas recebendo um link do Discord que entrega um arquivo ZIP contendo uma isca em PDF e um arquivo de atalho LNK malicioso. O LNK executa um carregador PowerShell embutido que extrai um documento DOCX e um arquivo CAB contendo uma porta traseira PowerShell, arquivos em lote e um executável de bypass UAC.

Após o arquivo de atalho ser lançado, o DOCX abre e executa um arquivo em lote. O documento de isca indica que os hackers pretendem comprometer o ambiente de desenvolvimento para obter acesso a ativos sensíveis, incluindo infraestrutura, credenciais de API, acesso a carteiras e holdings de ativos digitais.

O primeiro arquivo em lote cria um diretório de preparação para a porta traseira, enquanto o segundo arquivo em lote cria uma tarefa agendada horária que imita a tarefa de inicialização do OneDrive. A tarefa lê um script PowerShell criptografado com XOR do disco, descriptografa para execução na memória e depois se exclui para apagar vestígios da infecção.

Desenvolvimento de Malware Assistido por IA

A porta traseira PowerShell disfarça sua origem usando codificação de strings baseada em aritmética e reconstrução de strings em tempo de execução. Pesquisadores identificaram sinais de desenvolvimento assistido por IA, ao invés de malware tradicionalmente criado, incluindo:

• Documentação clara e estruturada no topo do script (incomum para malware)
• Layout de código limpo e modular
• Presença de comentários de espaço reservado como “# <-- seu UUID de projeto permanente”

Esses elementos são comumente vistos em códigos gerados por LLM e tutoriais, sugerindo que os hackers norte-coreanos utilizaram ferramentas de IA no desenvolvimento do malware.

Execução e Comando e Controle

Antes da execução, o malware realiza verificações de hardware, software e atividade do usuário para garantir que não esteja rodando em ambientes de análise. Uma vez ativado em um dispositivo infectado, o malware contata periodicamente os servidores de comando e controle (C2) para enviar metadados do host e faz sondagens em intervalos aleatórios. Se o C2 contiver código PowerShell, ele é executado usando trabalhos em segundo plano.

Esses ataques podem ser atribuídos ao ator de ameaças norte-coreano Konni com base em semelhanças no formato do launcher, nomes de isca e sobreposições na estrutura da cadeia de execução com campanhas anteriores. Pesquisadores de segurança publicaram indicadores de comprometimento para ajudar os defensores a identificar e proteger contra essa ameaça.