Le groupe KONNI de Corée du Nord déploie des logiciels malveillants générés par IA contre les développeurs de blockchain
Le groupe APT nord-coréen KONNI a déployé des portes dérobées PowerShell générées par IA ciblant les développeurs de blockchain et de cryptomonnaies au Japon, en Australie et en Inde. Check Point Research a publié des résultats le 21 janvier 2026, documentant l'utilisation par la campagne d'archives malveillantes hébergées sur Discord.
Konni cible les développeurs de blockchain avec l'IA
Le groupe de menace persistante avancée (APT) nord-coréen KONNI a ciblé les développeurs de blockchain et de cryptomonnaies avec des logiciels malveillants générés par IA. La campagne s'est concentrée sur les développeurs au Japon, en Australie et en Inde en utilisant Discord comme premier canal de livraison.
Appâts Discord et chaîne d'infection mise en scène
Les attaquants ont envoyé un lien Discord qui a livré une archive ZIP aux développeurs ciblés. Le ZIP contenait un appât PDF ayant l'apparence légitime, un fichier de raccourci Windows et des composants supplémentaires qui exécutaient une chaîne d'infection multi-étapes sur la machine de la victime.
Le fichier de raccourci Windows a déclenché des scripts qui dépackaient d'autres fichiers, créaient une tâche planifiée et exécutaient un script PowerShell en mémoire. Ce script contactait des serveurs contrôlés par les attaquants et préparait une porte dérobée persistante sur le système infecté.
Caractéristiques de la porte dérobée PowerShell générée par IA
Check Point Research a identifié des marqueurs spécifiques qui reliaient la porte dérobée PowerShell à la génération de code par modèle de langage large (LLM). Le script incluait une documentation en anglais claire, une structure modulaire et des espaces réservés d'instructions tels que le commentaire « # <– votre UUID de projet permanent ».
La porte dérobée utilisait une chaîne d'identifiant unique universel (UUID) fixe pour identifier l'instance du projet sur chaque appareil infecté. Elle envoyait des informations système à un serveur distant toutes les 13 minutes et attendait d'autres commandes de l'attaquant.
Activité historique de Konni et focus sur la cryptomonnaie
KONNI opère depuis au moins 2014 selon des recherches antérieures sur les menaces de Cisco Talos. Les campagnes précédentes ciblaient des organisations liées à la péninsule coréenne, y compris des entités diplomatiques et gouvernementales connectées à la Corée du Sud.
Les opérations récentes ont élargi ce focus au secteur de la cryptomonnaie. En visant les développeurs de blockchain et de cryptomonnaies, KONNI a ciblé des équipes qui gèrent le code et l'infrastructure pour des projets de monnaie numérique.
Implications de sécurité pour l'industrie de la blockchain
Les attaquants de cette campagne ont utilisé une porte dérobée générée par IA comme partie de leurs outils contre les développeurs liés à la blockchain. Le cas documente comment le code généré par IA apparaît déjà dans des opérations offensives réelles liées à la Corée du Nord.