- Konni es un grupo de amenaza persistente avanzada norcoreana que ha operado durante una década.
- Su hackeo comienza con un mensaje de Discord que contiene un enlace a un archivo ZIP engañoso.
- Los investigadores señalan que el virus muestra claros signos de haber sido generado por IA.
Investigadores en ciberseguridad han alertado sobre un sofisticado nuevo esquema de malware. El grupo de hackers vinculado a Corea del Norte Konni (también conocido como Opal Sleet y TA406) está aprovechando malware PowerShell generado por IA para atacar directamente a desarrolladores e ingenieros blockchain.
Konni es un grupo norcoreano de amenaza avanzada persistente (APT) que ha operado al menos una década. Aunque sus objetivos se encuentran en Corea del Sur, Rusia, Ucrania y Europa, Asia-Pacífico también se ha añadido a la lista.
El grupo está vinculado a otros grupos cibernéticos de la RPDC, como APT37 y Kimsuky, y tiene un historial de robo de dinero y secretos de bancos, sistemas financieros y empresas tecnológicas.
Cómo funciona el hackeo
Expertos, incluidos investigadores de Check Point, han compartido informes detallados que explican paso a paso cómo funciona el hackeo de Konni.
El hackeo comienza con un mensaje de Discord que contiene un enlace. Al hacer clic en él, se descarga un archivo comprimido que parece legítimo, que contiene tanto un señuelo PDF como un archivo de acceso directo dañino de Windows.
Relacionado: Hackers explotan el pago de GANA por 3,1 millones de dólares en la cadena BSC
Abrir el archivo de acceso directo inicia un cargador PowerShell que desempaqueta más archivos. Entre ellos hay un documento DOCX falso y un archivo de gabinete (CAB) que contiene una puerta trasera de PowerShell, scripts por lotes y un ejecutable diseñado para eludir el Control de Cuenta de Usuario (UAC). Esto permite que el virus permanezca instalado en el ordenador de la víctima.
Los investigadores señalan que el virus muestra claros signos de haber sido generado por IA. Su código está construido en bloques separados, contiene comentarios inusualmente ordenados y utiliza texto provisional extraño, lo que lo diferencia del malware típico escrito por humanos.
El software malicioso configura una tarea automatizada cada hora, disfrazada de tarea de inicio de OneDrive. Esto desbloquea y ejecuta en secreto un comando PowerShell en la memoria del ordenador. Después de que se ejecuta la parte dañina del programa, limpia algunos de sus propios archivos para cubrir sus huellas.
Objetivo en desarrolladores de blockchain
A diferencia de los hackeos típicos que atacan a usuarios aleatorios, este ataque está dirigido directamente a desarrolladores e ingenieros de software que crean plataformas criptográficas. Estas personas suelen tener acceso a claves API, acceso al código fuente y claves de monedero privado.
Si son hackeados, podrían dar a los atacantes el control sobre aplicaciones importantes y grandes cantidades de cripto. Los investigadores han visto que esta campaña ataca principalmente objetivos en Japón, Australia e India, mostrando que los hackers están atacando deliberadamente nuevas regiones.
Relacionado: Advertencia de CZ: Un solo clic en un enlace de soporte falso podría hundir un exchange de criptomonedas
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
