Северокорейская группа KONNI развернула вредоносное ПО, сгенерированное ИИ, против разработчиков блокчейна
Северокорейская группа APT KONNI развернула сгенерированные ИИ бэкдоры PowerShell, нацеленные на разработчиков блокчейна и криптовалют в Японии, Австралии и Индии. Исследования Check Point были опубликованы 21 января 2026 года и документируют использование вредоносных архивов, размещенных на Discord.
Konni нацеливается на разработчиков блокчейна с помощью ИИ
Северокорейская группа продвинутых постоянных угроз (APT) KONNI нацелилась на разработчиков блокчейна и криптовалют с помощью сгенерированного ИИ вредоносного ПО. Кампания сосредоточилась на разработчиках в Японии, Австралии и Индии, используя Discord в качестве первого канала доставки.
Приманка Discord и цепочка заражения
Злоумышленники отправили ссылку на Discord, которая доставила ZIP-архив целевым разработчикам. ZIP содержал PDF-приманку, выглядящую легитимно, файл ярлыка Windows и дополнительные компоненты, которые выполняли многоступенчатую цепочку заражения на машине жертвы.
Файл ярлыка Windows запускал скрипты, которые распаковывали дополнительные файлы, создавали запланированную задачу и запускали скрипт PowerShell в памяти. Этот скрипт связывался с серверами, контролируемыми злоумышленниками, и подготавливал постоянный бэкдор на зараженной системе.
Характеристики бэкдора PowerShell, сгенерированного ИИ
Исследование Check Point выявило конкретные маркеры, связывающие бэкдор PowerShell с генерацией кода с использованием больших языковых моделей (LLM). Скрипт включал четкую документацию на английском языке, модульную структуру и инструктивные заполнители, такие как комментарий «# <– ваш постоянный UUID проекта».
Бэкдор использовал фиксированную строку универсального уникального идентификатора (UUID) для идентификации экземпляра проекта на каждом зараженном устройстве. Он отправлял информацию о системе на удаленный сервер каждые 13 минут и ждал дальнейших команд от злоумышленников.
Историческая активность Konni и фокус на криптовалюте
KONNI действует как минимум с 2014 года, согласно ранее проведенным исследованиям угроз от Cisco Talos. Предыдущие кампании нацеливались на организации, связанные с Корейским полуостровом, включая дипломатические и государственные структуры, связанные с Южной Кореей.
Недавние операции расширили этот фокус на сектор криптовалют. Нацеливаясь на разработчиков блокчейна и криптовалют, KONNI нацелилась на команды, которые занимаются кодом и инфраструктурой для проектов цифровой валюты.
Безопасностные последствия для индустрии блокчейна
Злоумышленники в этой кампании использовали сгенерированный ИИ бэкдор как часть своих инструментов против разработчиков, связанных с блокчейном. Этот случай документирует, как сгенерированный ИИ код уже появляется в реальных наступательных операциях, связанных с Северной Кореей.