- Konni est un groupe nord-coréen avancé de menaces persistantes qui opère depuis une décennie.
- Leur piratage commence par un message Discord contenant un lien vers une archive ZIP trompeuse.
- Les chercheurs notent que le virus montre clairement des signes d’origine artificielle.
Les chercheurs en cybersécurité ont tiré la sonnette d’alarme au sujet d’un nouveau système sophistiqué de malware. Le groupe de hackers lié à la Corée du Nord Konni (également connu sous les noms d’Opal Sleet et TA406) exploite des malwares PowerShell générés par l’IA pour cibler directement les développeurs et ingénieurs blockchain.
Konni est un groupe nord-coréen de menace avancée persistante (APT) qui opère depuis au moins une décennie. Bien que leurs cibles se trouvent en Corée du Sud, en Russie, en Ukraine et en Europe, la région Asie-Pacifique a également été ajoutée à la liste.
Le groupe est lié à d’autres groupes cybernétiques de la RPDC, tels qu’APT37 et Kimsuky, et a un historique de vol d’argent et de secrets auprès de banques, de systèmes financiers et d’entreprises technologiques.
Comment fonctionne le hack
Des experts, dont des chercheurs de Check Point, ont partagé des rapports détaillés expliquant étape par étape comment fonctionne le piratage de Konni.
Le piratage commence par un message Discord contenant un lien. Cliquer dessus télécharge un fichier compressé qui semble légitime, contenant à la fois un leurre PDF et un fichier raccourci Windows nuisible.
En lien : Des hackers exploitent le paiement de GANA de 3,1 millions de dollars sur la chaîne BSC
L’ouverture du fichier de raccourci lance un chargeur PowerShell qui décompacte d’autres fichiers. Parmi eux figurent un faux document DOCX et une archive de cabinet (CAB) contenant une porte dérobée PowerShell, des scripts batch et un exécutable conçu pour contourner le Contrôle des comptes utilisateurs (UAC). Cela permet au virus de rester installé sur l’ordinateur de la victime.
Les chercheurs notent que le virus montre clairement des signes d’origine artificielle. Son code est construit en blocs séparés, contient des commentaires exceptionnellement soignés, et utilise un texte provisoire étrange, ce qui le distingue des logiciels malveillants typiques écrits par des humains.
Le logiciel malveillant met en place une tâche automatisée à l’heure, déguisée en tâche de démarrage OneDrive. Cela déverrouille secrètement et lance une commande PowerShell dans la mémoire de l’ordinateur. Après que la partie nuisible du programme ait fonctionné, il nettoie certains de ses propres fichiers pour effacer ses traces.
Cible des développeurs de blockchain
Contrairement aux piratages classiques qui ciblent des utilisateurs aléatoires, cette attaque vise directement les développeurs et ingénieurs logiciels qui construisent des plateformes cryptographiques. Ces personnes ont souvent accès à des clés API, à l’accès au code source et aux clés de portefeuille privé.
En cas de piratage, ils pourraient donner aux attaquants le contrôle d’applications importantes et de grandes quantités de cryptomonnaies. Les chercheurs ont observé que cette campagne visait principalement des cibles au Japon, en Australie et en Inde, montrant que les hackers s’en prennent délibérément à de nouvelles régions.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
