Los piratas informáticos norcoreanos de Konni atacan a los ingenieros de blockchain con malware creado con IA

El grupo de hackers norcoreano Konni ataca a ingenieros de blockchain con malware generado por inteligencia artificial. Según informes, el grupo está implementando el malware PowerShell generado por IA para atacar a desarrolladores e ingenieros de la industria blockchain.

Se cree que el grupo de hackers norcoreano opera desde al menos 2014 y está asociado con los clústeres de actividad APT37 y Kimusky. El grupo ha atacado a organizaciones en Corea del Sur, Ucrania, Rusia y varios países europeos. Según la muestra de amenazas analizada por los investigadores de Check Point, la última campaña del grupo norcoreano está dirigida a la región de Asia-Pacífico.

El grupo norcoreano Konni implementa malware generado por IA

En el informe, los investigadores afirmaron que el malware fue enviado por usuarios que lo encontraron en Japón, India y Australia. El ataque comienza cuando la víctima recibe un enlace de Discord que envía un archivo ZIP con un PDF señuelo y un archivo de acceso directo LNK malicioso. El LNK ejecuta un cargador de PowerShell integrado que extraetracdocumento DOCX y un archivo CAB que contiene una puerta trasera de PowerShell, dos archivos por lotes y un ejecutable para omitir el UAC.

Tras ejecutar el archivo de acceso directo, el archivo DOCX abre y ejecuta un archivo por lotes incluido en el archivo contenedor. El documento DOCX señuelo muestra que el hacker pretende comprometer el entorno de desarrollo, lo que podría proporcionarle acceso a recursos confidenciales, como infraestructura,dentde API, acceso a la billetera y, finalmente, activos digitales. El primer archivo por lotes crea un directorio de almacenamiento temporal para la puerta trasera y el segundo archivo por lotes.

Además, crea una tarea programada cada hora que imita la tarea de inicio de OneDrive. Esta tarea lee un script de PowerShell cifrado con XOR desde el disco y lo descifra para su ejecución en memoria. Tras completar todos estos pasos, se autoelimina para eliminar cualquier rastro de infección. La puerta trasera de PowerShell oculta su origen mediante codificación de cadenas basada en aritmética, reconstrucción de cadenas en tiempo de ejecución y la ejecución de la lógica final mediante "Invoked-Expression"

Según los investigadores, el malware PowerShell indica la presencia de un desarrollo asistido por IA en lugar de un malware creado tradicionalmente. La evidencia que muestra esto incluye la documentación clara y estructurada en la parte superior del script, lo cual es muy inusual para el desarrollo de malware. Además, tiene un diseño limpio y modular, y la presencia de un “# hackers.

Los investigadores de CheckPoint dan detalles sobre el malware

Los investigadores explicaron que la redacción también muestra que el modelo instruye a un usuario humano sobre cómo personalizar el valor del marcador de posición. Indicaron que este tipo de comentarios son comunes en scripts y tutoriales generados por IA. Antes de ejecutarse, el malware realiza una comprobación de hardware, software y actividad del usuario para asegurarse de que no se esté ejecutando en entornos de análisis. Una vez determinado esto, genera un ID de host único. Después, sigue una ruta de acción específica.

Una vez que la puerta trasera está completamente activada y ejecutándose en el dispositivo infectado, el malware contacta periódicamente con el servidor de comando y control (C2) para enviar metadatos del host y sondea el servidor a intervalos aleatorios. Si el C2 contiene código de PowerShell, se convierte en un bloque de script y realiza sus actividades mediante tareas en segundo plano. CheckPoint indicó que estos ataques pueden atribuirse al actor de amenazas norcoreano Konni, basándose en el formato del lanzador y el nombre del señuelo.

Además, los investigadores afirmaron que, además de la superposición de nombres de script, existen otros elementos comunes en la estructura de la cadena de ejecución con ataques anteriores. Los investigadores también han publicado indicadores de vulnerabilidad asociados a esta reciente campaña para ayudar a los defensores a reconocer cuándo han sido atacados por la campaña y así proteger sus activos.