El Grupo Konni de Corea del Norte despliega malware generado por IA dirigido a ingenieros de blockchain

Fuente: CryptoNewsNet Título original: Los hackers de Konni apuntan a ingenieros de blockchain con malware de IA Enlace original: El grupo de hackers norcoreano Konni ahora apunta a ingenieros de blockchain con malware generado por inteligencia artificial. Según informes, el grupo de hackers está desplegando malware PowerShell generado por IA para atacar a desarrolladores e ingenieros en la industria de blockchain.

Se cree que el grupo de hackers norcoreano ha estado en operación desde al menos 2014 y está asociado con los clústeres de actividad APT37 y Kimusky. El grupo ha atacado organizaciones en Corea del Sur, Ucrania, Rusia y varios países europeos. Según análisis de amenazas, la última campaña apunta a la región de Asia Pacífico.

Mecanismo de ataque

El ataque comienza con que las víctimas reciben un enlace de Discord que entrega un archivo ZIP que contiene un señuelo en PDF y un archivo de acceso directo LNK malicioso. El archivo LNK ejecuta un cargador de PowerShell incrustado que extrae un documento DOCX y un archivo CAB que contiene una puerta trasera de PowerShell, archivos por lotes y un ejecutable para el bypass de UAC.

Después de lanzar el archivo de acceso directo, se abre el DOCX y se ejecuta un archivo por lotes. El documento señuelo indica que los hackers buscan comprometer el entorno de desarrollo para acceder a activos sensibles, incluyendo infraestructura, credenciales API, acceso a billeteras y tenencias de activos digitales.

El primer archivo por lotes crea un directorio de preparación para la puerta trasera, mientras que el segundo crea una tarea programada horaria que imita la tarea de inicio de OneDrive. La tarea lee un script de PowerShell cifrado con XOR desde el disco, lo descifra para su ejecución en memoria y luego se elimina para borrar las huellas de la infección.

Desarrollo de malware asistido por IA

La puerta trasera de PowerShell oculta su origen usando codificación de cadenas basada en aritmética y reconstrucción de cadenas en tiempo de ejecución. Los investigadores identificaron signos de desarrollo asistido por IA en lugar de malware creado de forma tradicional, incluyendo:

• Documentación clara y estructurada en la parte superior del script (inusual en malware)
• Diseño de código limpio y modular
• Presencia de comentarios con marcadores de posición como “# <-- tu UUID de proyecto permanente”

Estos elementos son comúnmente vistos en código y tutoriales generados por LLM, lo que sugiere que los hackers norcoreanos utilizaron herramientas de IA en el desarrollo del malware.

Ejecución y comando y control

Antes de la ejecución, el malware realiza verificaciones de hardware, software y actividad del usuario para asegurarse de que no se esté ejecutando en entornos de análisis. Una vez activado en un dispositivo infectado, el malware contacta periódicamente con servidores de comando y control (C2) para enviar metadatos del host y hacer sondeos en intervalos aleatorios. Si el C2 contiene código PowerShell, lo ejecuta usando trabajos en segundo plano.

Estos ataques pueden atribuirse al actor de amenazas norcoreano Konni, basándose en similitudes en el formato del lanzador, nombres de señuelos y superposiciones en la estructura de la cadena de ejecución con campañas anteriores. Los investigadores de seguridad han publicado indicadores de compromiso para ayudar a los defensores a identificar y protegerse contra esta amenaza.