Konni hackers usam backdoor PowerShell com IA em blockchain
Konni hackers estão distribuindo um backdoor em PowerShell gerado por inteligência artificial para comprometer desenvolvedores e equipes de engenharia do setor de blockchain, segundo relatório da Check Point Research.
Campanha avança para além da Coreia do Sul
Ativo desde 2014, o grupo norte-coreano Konni, também conhecido como Earth Imp ou TA406, expande seu raio de ação. Desta vez, os alvos estão no Japão, Austrália e Índia, depois de anos focados em Coreia do Sul, Rússia e Europa. A operação, batizada de “Poseidon”, começa com e-mails de spear phishing que simulam avisos financeiros. Os anexos em formato ZIP contêm um atalho Windows (LNK) e um PDF de isca. Ao ser executado, o atalho inicia um loader em PowerShell que extrai arquivos adicionais, incluindo um documento Word de distração e um arquivo CAB com o backdoor propriamente dito.
Backdoor criado com auxílio de IA
O código em PowerShell apresenta estrutura modular, comentários legíveis e até identificador de projeto, indícios de que foi produzido por ferramentas de IA. O malware faz checagens anti-análise, tenta elevar privilégios com a técnica FodHelper e cria tarefas agendadas persistentes. Para acesso remoto, instala o utilitário legítimo SimpleHelp, comunicando-se com um servidor de comando e controle protegido por camada de criptografia.
O vetor de e-mail se mostra eficiente porque os links maliciosos imitam redirecionamentos de anúncios do Google (ad.doubleclick.net) e do Naver, escapando de filtros de segurança. Além disso, os arquivos hospedados na CDN do Discord reduzem as chances de bloqueio por soluções corporativas.
Risco para cadeias de desenvolvimento
Diferentemente de campanhas que visam usuários finais, o objetivo agora é ganhar posição em ambientes de desenvolvimento, onde o comprometimento pode se propagar por vários projetos e serviços, multiplicando os danos. Para o analista que mantém repositórios ou integrações de CI/CD, a recomendação imediata é revisar políticas de anexos, bloquear executáveis em e-mails e monitorar tarefas agendadas inesperadas.
Imagem: Internet
Detalhes técnicos, incluindo hashes e infraestrutura de comando, podem ser consultados na reportagem original do The Hacker News, fonte reconhecida em cibersegurança.
Quer se manter protegido e atualizado? Visite nossa página inicial e continue acompanhando nossas análises sobre ameaças digitais e dicas para montar um setup realmente seguro.
Crédito da imagem: The Hacker News Fonte: The Hacker News
