- Konni adalah kelompok ancaman persisten canggih Korea Utara yang beroperasi selama satu dekade.
- Peretasan mereka dimulai dengan pesan Discord yang berisi tautan ke arsip ZIP yang menipu.
- Para peneliti mencatat bahwa virus ini menunjukkan tanda-tanda yang jelas dihasilkan oleh AI.
Peneliti keamanan siber telah membunyikan alarm tentang skema malware baru yang canggih. Kelompok peretas yang terkait dengan Korea Utara Konni (juga dikenal sebagai Opal Sleet dan TA406) memanfaatkan malware PowerShell yang dihasilkan AI untuk secara langsung menargetkan pengembang dan insinyur blockchain.
Konni adalah kelompok ancaman persisten lanjutan (APT) Korea Utara yang beroperasi setidaknya selama satu dekade. Sementara target mereka terletak di wilayah Korea Selatan, Rusia, Ukraina, dan Eropa, Asia-Pasifik juga telah ditambahkan ke daftar.
Grup ini terkait dengan kelompok siber DPRK lainnya, seperti APT37 dan Kimsuky, dan memiliki rekam jejak mencuri uang dan rahasia dari bank, sistem keuangan, dan perusahaan teknologi.
Cara Kerja Peretasan
Para ahli, termasuk peneliti dari Check Point, telah membagikan laporan terperinci yang menjelaskan bagaimana peretasan Konni bekerja selangkah demi selangkah.
Peretasan dimulai dengan pesan Discord yang berisi tautan. Mengkliknya akan mengunduh file terkompresi yang terlihat sah, menyimpan umpan PDF dan file pintasan Windows yang berbahaya.
Terkait: Peretas Mengeksploitasi Pembayaran GANA untuk $3.1 Juta di BSC Chain
Membuka file pintasan akan memulai pemuat PowerShell yang membongkar lebih banyak file. Di antaranya adalah dokumen DOCX palsu dan arsip kabinet (CAB) yang menyimpan backdoor PowerShell, skrip batch, dan executable yang dirancang untuk melewati Kontrol Akun Pengguna (UAC). Hal ini memungkinkan virus untuk tetap terinstal di komputer korban.
Para peneliti mencatat bahwa virus ini menunjukkan tanda-tanda yang jelas dihasilkan oleh AI. Kodenya dibangun dalam blok terpisah, berisi komentar yang luar biasa rapi, dan menggunakan teks placeholder yang aneh, yang membedakannya dari malware khas yang ditulis manusia.
Perangkat lunak berbahaya menyiapkan tugas per jam otomatis, yang disamarkan sebagai tugas startup OneDrive. Ini diam-diam membuka dan meluncurkan perintah PowerShell di memori komputer. Setelah bagian berbahaya dari program berjalan, ia membersihkan beberapa filenya sendiri untuk menutupi jejaknya.
Target pada Pengembang Blockchain
Tidak seperti peretasan biasa yang menargetkan pengguna acak, serangan ini ditujukan langsung pada pengembang dan insinyur perangkat lunak yang membangun platform kripto. Orang-orang ini sering memiliki akses ke kunci API, akses kode sumber, dan kunci dompet pribadi.
Jika diretas, mereka dapat memberi penyerang kendali atas aplikasi penting dan kripto dalam jumlah besar. Para peneliti telah melihat kampanye ini terutama mengenai target di Jepang, Australia, dan India, menunjukkan bahwa para peretas dengan sengaja mengejar wilayah baru.
Terkait: Peringatan Keras CZ: Satu Klik pada Tautan Dukungan Palsu Dapat Menenggelamkan Pertukaran Kripto
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
