El grupo KONNI de Corea del Norte despliega malware generado por IA contra desarrolladores de blockchain
El grupo APT norcoreano KONNI desplegó puertas traseras de PowerShell generadas por IA dirigidas a desarrolladores de blockchain y criptomonedas en Japón, Australia e India. Check Point Research publicó hallazgos el 21 de enero de 2026, documentando el uso de archivos maliciosos alojados en Discord en la campaña.
Konni apunta a desarrolladores de blockchain con IA
El grupo de amenaza persistente avanzada (APT) de Corea del Norte, KONNI, apuntó a desarrolladores de blockchain y criptomonedas con malware generado por IA. La campaña se centró en desarrolladores en Japón, Australia e India utilizando Discord como el primer canal de entrega.
Discord atrae y cadena de infección preparada
Los atacantes enviaron un enlace de Discord que entregó un archivo ZIP a los desarrolladores objetivo. El ZIP contenía un señuelo en PDF que parecía legítimo, un archivo de acceso directo de Windows y componentes adicionales que ejecutaban una cadena de infección de múltiples etapas en la máquina de la víctima.
El archivo de acceso directo de Windows activó scripts que descomprimieron más archivos, crearon una tarea programada y ejecutaron un script de PowerShell en memoria. Este script contactó servidores controlados por los atacantes y preparó una puerta trasera persistente en el sistema infectado.
Características de la puerta trasera de PowerShell generada por IA
Check Point Research identificó marcadores específicos que vinculaban la puerta trasera de PowerShell a la generación de código por modelos de lenguaje grande (LLM). El script incluía documentación clara en inglés, estructura modular y marcadores instructivos como el comentario “# <– tu UUID de proyecto permanente”.
La puerta trasera utilizó una cadena de identificador único universal (UUID) fija para identificar la instancia del proyecto en cada dispositivo infectado. Enviaba información del sistema a un servidor remoto cada 13 minutos y esperaba más comandos de los atacantes.
Actividad histórica de Konni y enfoque en criptomonedas
KONNI ha estado operando desde al menos 2014, según investigaciones de amenazas anteriores de Cisco Talos. Las campañas anteriores apuntaron a organizaciones vinculadas a la península de Corea, incluidas entidades diplomáticas y gubernamentales conectadas a Corea del Sur.
Las operaciones recientes ampliaron este enfoque al sector de criptomonedas. Al apuntar a desarrolladores de blockchain y criptomonedas, KONNI dirigió sus ataques a equipos que manejan código e infraestructura para proyectos de moneda digital.
Implicaciones de seguridad para la industria de blockchain
Los atacantes en esta campaña utilizaron una puerta trasera generada por IA como parte de sus herramientas contra desarrolladores relacionados con blockchain. El caso documenta cómo el código generado por IA ya aparece en operaciones ofensivas del mundo real vinculadas a Corea del Norte.