O grupo de hackers norte-coreano Konni (também conhecido como Opal Sleet ou TA406) está utilizando malware em PowerShell gerado por inteligência artificial para atacar desenvolvedores e engenheiros do setor blockchain.
Atribuído a grupos como APT37 e Kimsuky, o Konni atua desde pelo menos 2014, com ataques registrados contra organizações na Coreia do Sul, Rússia, Ucrânia e diversos países europeus.
De acordo com análises realizadas por pesquisadores da Check Point, a campanha mais recente do grupo tem como foco a região Ásia-Pacífico, tendo sido identificado malware em países como Japão, Austrália e Índia.
O ataque começa com o envio de um link hospedado no Discord, que entrega um arquivo ZIP contendo um PDF isca e um arquivo malicioso do tipo LNK (atalho).
Ao ser executado, o arquivo LNK dispara um carregador PowerShell embutido, que extrai um documento DOCX e um arquivo CAB contendo uma backdoor em PowerShell, dois arquivos batch e um executável para bypass de UAC (controle de conta de usuário).
A abertura do atalho exibe o documento DOCX e executa o primeiro arquivo batch incluído no CAB.
O documento DOCX indica que o objetivo dos hackers é comprometer ambientes de desenvolvimento, o que permitiria acessar ativos sensíveis como infraestrutura, credenciais de API, carteiras (wallets) e, por fim, holdings de criptomoedas.
O primeiro arquivo batch cria um diretório temporário para armazenar a backdoor, enquanto o segundo configura uma tarefa agendada que roda a cada hora, disfarçada como uma tarefa legítima de inicialização do OneDrive.
Essa tarefa lê um script PowerShell criptografado via XOR no disco, descriptografa-o para execução em memória e, em seguida, se autoexclui para apagar vestígios da infecção.
A backdoor em PowerShell apresenta alto nível de ofuscação, utilizando codificação de strings por meio de operações aritméticas, reconstrução das strings em tempo de execução e execução da lógica final via ‘Invoke-Expression’.
Segundo os pesquisadores, o malware sugere fortemente um desenvolvimento assistido por IA, ao contrário do típico malware criado manualmente por um operador.
Essa conclusão baseia-se em evidências como documentação clara e estruturada no topo do script — algo raro em malware —, layout modular e organizado, além do comentário “# <– your permanent project UUID”.
De acordo com a Check Point, “essa frase é característica de código gerado por modelos de linguagem (LLM), que orientam explicitamente o usuário sobre como personalizar um valor de espaço reservado”.
Comentários assim são comuns em scripts e tutoriais produzidos por inteligência artificial.
Antes da execução, o malware realiza checagens de hardware, software e atividade do usuário para evitar ambientes de análise, além de gerar um ID único para o host infectado.
A partir daí, o código adapta seu comportamento conforme os privilégios de execução disponíveis na máquina comprometida, seguindo caminhos específicos de ação.
Com a backdoor ativa no dispositivo, ela estabelece contato periódico com o servidor de comando e controle (C2) para enviar metadados básicos do host e faz requisições em intervalos aleatórios.
Caso a resposta do servidor C2 contenha código PowerShell, o malware o converte em um bloco de script e o executa de forma assíncrona via processos em segundo plano.
A atribuição desse ataque ao grupo Konni foi feita com base em semelhanças nos formatos dos launchers, nomes de arquivos isca e scripts, além de padrões na cadeia de execução que coincidem com ataques anteriores.
Os pesquisadores disponibilizaram indicadores de comprometimento (IoCs) relacionados a essa campanha para auxiliar especialistas em segurança a proteger seus ambientes e ativos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...