مجموعة KONNI الكورية الشمالية تنشر برمجيات خبيثة مولدة بالذكاء الاصطناعي ضد مطوري البلوكشين

كوني تستهدف مطوري البلوكشين بالذكاء الاصطناعي

استهدفت مجموعة KONNI الكورية الشمالية المتقدمة للتهديدات (APT) مطوري البلوكشين والعملات الرقمية ببرمجيات خبيثة مولدة بالذكاء الاصطناعي. ركزت الحملة على المطورين في اليابان وأستراليا والهند باستخدام Discord كقناة تسليم أولى.

Discord كطعم وسلسلة إصابة مرتبة

أرسل المهاجمون رابط Discord الذي قام بتسليم أرشيف ZIP للمطورين المستهدفين. احتوى ZIP على طعم PDF يبدو شرعياً، وملف اختصار Windows، ومكونات إضافية نفذت سلسلة إصابة متعددة المراحل على جهاز الضحية.

قام ملف اختصار Windows بتشغيل سكربتات فك ضغط المزيد من الملفات، وإنشاء مهمة مجدولة، وتشغيل سكربت PowerShell في الذاكرة. اتصل هذا السكربت بخوادم يتحكم بها المهاجمون وأعد باب خلفي دائم على النظام المصاب.

خصائص الباب الخلفي PowerShell المولد بالذكاء الاصطناعي

حددت Check Point Research علامات محددة تربط الباب الخلفي PowerShell بتوليد كود نموذج اللغة الكبير (LLM). تضمن السكربت وثائق واضحة باللغة الإنجليزية، وهيكلية معيارية، وعلامات تعليمية مثل التعليق "# <– UUID مشروعك الدائم".

استخدم الباب الخلفي سلسلة معرف فريدة عالمية (UUID) ثابتة لتحديد مثيل المشروع على كل جهاز مصاب. أرسل معلومات النظام إلى خادم بعيد كل 13 دقيقة وانتظر أوامر المهاجمين الإضافية.

نشاط كوني التاريخي وتركيزها على العملات الرقمية

تعمل KONNI منذ عام 2014 على الأقل وفقاً لأبحاث التهديدات السابقة من Cisco Talos. استهدفت الحملات السابقة منظمات مرتبطة بشبه الجزيرة الكورية، بما في ذلك الكيانات الدبلوماسية والحكومية المرتبطة بكوريا الجنوبية.

وسعت العمليات الأخيرة هذا التركيز إلى قطاع العملات الرقمية. من خلال استهداف مطوري البلوكشين والعملات الرقمية، استهدفت KONNI الفرق التي تتعامل مع الكود والبنية التحتية لمشاريع العملات الرقمية.

تداعيات أمنية على صناعة البلوكشين

استخدم المهاجمون في هذه الحملة باباً خلفياً مولداً بالذكاء الاصطناعي كجزء من أدواتهم ضد المطورين المرتبطين بالبلوكشين. توثق هذه الحالة كيف أن الكود المولد بالذكاء الاصطناعي يظهر بالفعل في العمليات الهجومية الواقعية المرتبطة بكوريا الشمالية.