Des pirates informatiques nord-coréens de Konni ciblent des ingénieurs blockchain avec un logiciel malveillant basé sur l'IA

Le groupe de pirates informatiques nord-coréen Konni cible désormais les ingénieurs blockchain à l'aide de logiciels malveillants générés par intelligence artificielle. Selon certaines sources, ce groupe déploie un logiciel malveillant PowerShell basé sur l'IA, qu'il utilise pour cibler les développeurs et les ingénieurs du secteur de la blockchain.

Ce groupe de pirates informatiques nord-coréens serait actif depuis au moins 2014 et serait associé aux clusters APT37 et Kimusky. Il a ciblé des organisations en Corée du Sud, en Ukraine, en Russie et dans plusieurs autres pays européens. D'après l'échantillon de menaces analysé par les chercheurs de Check Point, sa dernière campagne vise la région Asie-Pacifique.

Le groupe nord-coréen Konni déploie des logiciels malveillants générés par l'IA

Dans leur rapport, les chercheurs affirment que le logiciel malveillant a été soumis par des utilisateurs l'ayant découvert au Japon, en Inde et en Australie. L'attaque débute par la réception, par la victime, d'un lien Discord qui télécharge une archive ZIP contenant un leurre PDF et un raccourci LNK malveillant. Ce raccourci LNK exécute un programme PowerShell intégré qui extraittracdocument DOCX et une archive CAB contenant une porte dérobée PowerShell, deux fichiers batch et un exécutable permettant de contourner le contrôle de compte d'utilisateur (UAC).

Une fois le raccourci lancé, le fichier DOCX ouvre et exécute un fichier batch inclus dans le fichier cabinet. Ce fichier DOCX leurre indique que le pirate souhaite compromettre l'environnement de développement, ce qui pourrait lui donner accès à des ressources sensibles, notamment l'infrastructure, lesdentAPI, l'accès au portefeuille et, enfin, les actifs numériques détenus. Le premier fichier batch crée un répertoire intermédiaire pour la porte dérobée et le second fichier batch.

De plus, il crée une tâche planifiée toutes les heures qui imite la tâche de démarrage de OneDrive. Cette tâche lit un script PowerShell chiffré par XOR sur le disque et le déchiffre pour une exécution en mémoire. Une fois ces étapes terminées, elle s'auto-supprime afin d'effacer toute trace d'infection. La porte dérobée PowerShell masque son origine grâce à un encodage de chaînes basé sur des opérations arithmétiques, une reconstruction de chaînes à l'exécution et l'exécution de la logique finale via « Invoked-Expression »

D'après les chercheurs, le logiciel malveillant PowerShell indique un développement assisté par IA plutôt qu'un logiciel malveillant conçu de manière traditionnelle. Parmi les preuves, on note la documentation claire et structurée en haut du script, ce qui est très inhabituel pour le développement de logiciels malveillants. De plus, sa mise en page est propre et modulaire, et on y trouve le hashtag « # hackers ».

Les chercheurs de Check Point fournissent des détails sur le logiciel malveillant

Les chercheurs ont expliqué que cette formulation indique également que le modèle guide l'utilisateur sur la personnalisation de la valeur d'espace réservé. Ils ont précisé que ce type de commentaires est fréquent dans les scripts et tutoriels générés par l'IA. Avant son exécution, le logiciel malveillant effectue une vérification du matériel, des logiciels et de l'activité de l'utilisateur afin de s'assurer qu'il ne s'exécute pas dans des environnements d'analyse. Une fois cette vérification effectuée, il génère un identifiant d'hôte unique, puis suit un chemin d'action prédéfini.

Une fois la porte dérobée pleinement activée et opérationnelle sur l'appareil infecté, le logiciel malveillant contacte périodiquement le serveur de commande et de contrôle (C2) pour lui envoyer des métadonnées et l'interroge à intervalles aléatoires. Si le serveur C2 contient du code PowerShell, il se transforme en un bloc de script et exécute ses activités via des tâches en arrière-plan. Check Point a noté que ces attaques peuvent être attribuées au groupe de cybercriminels nord-coréen Konni, compte tenu du format de lancement et du nom d'appât utilisés précédemment.

De plus, les chercheurs ont affirmé qu'outre la similitude des noms de scripts, d'autres éléments de la structure de la chaîne d'exécution présentaient des points communs avec des attaques antérieures. Ils ont également publié des indicateurs de compromission associés à cette campagne récente afin d'aider les équipes de défense à identifier les attaques de la campagne et ainsi protéger leurs ressources.