Hackers de "Konni" despliegan malware generado por IA contra desarrolladores de Blockchain

El grupo vinculado a Corea del Norte utiliza scripts de PowerShell asistidos por inteligencia artificial para infiltrarse en equipos de ingeniería y eludir filtros de seguridad de correo electrónico.

SEÚL / LONDRES – El panorama de las amenazas persistentes avanzadas (APT) ha dado un giro tecnológico significativo. El grupo de ciberespionaje Konni (también conocido como Opal Sleet u Osmium), vinculado a intereses norcoreanos, ha comenzado a integrar herramientas de Inteligencia Artificial (IA) para crear puertas traseras (backdoors) altamente sofisticadas. Según los últimos reportes de seguridad, el grupo está centrando sus ataques en desarrolladores y equipos de ingeniería dentro del sector blockchain y criptomonedas.

IA: El nuevo aliado en la escritura de código malicioso

Lo que distingue a esta reciente campaña es la evidencia de que el malware de PowerShell utilizado fue generado con la ayuda de herramientas de IA. Los analistas de seguridad identificaron pistas reveladoras en el código, tales como:

• Estructura modular: Un diseño inusualmente organizado y limpio.

• Documentación legible para humanos: Comentarios en el código que facilitan su comprensión, algo poco común en scripts de malware escritos manualmente por atacantes.

• Etiquetas de plantillas de IA: Presencia de comentarios específicos como "# <– your permanent project UUID", típicos de las sugerencias generadas por modelos de lenguaje de gran escala (LLM).

El uso de IA permite a estos actores generar variantes de malware de forma más rápida, reduciendo errores técnicos y dificultando la detección por parte de sistemas que buscan patrones de código conocidos.

El vector de ataque: Publicidad legítima y Spear-Phishing

La campaña se apoya en un vector de ataque híbrido. Los atacantes explotan el ecosistema publicitario de Google mediante una técnica de redirección de clics. Utilizan estructuras de URL legítimas (como ad.doubleclick[.]net) para dirigir gradualmente a los usuarios hacia infraestructuras externas maliciosas.

Una vez que la víctima interactúa con los correos de spear-phishing o los enlaces fraudulentos, se descargan archivos LNK que se hacen pasar por documentos PDF. Al ejecutarse, estos lanzan el script de PowerShell generado por IA, el cual:

1. Detecta entornos de análisis: Verifica si se está ejecutando en una máquina virtual o en un entorno de seguridad para autodestruirse o permanecer inactivo.

2. Instala herramientas de persistencia: Despliega SimpleHelp, una herramienta legítima de monitoreo y gestión remota (RMM), para mantener el control del equipo infectado.

3. Entrega el troyano MoonPeak: Un RAT (Troyano de Acceso Remoto) especializado en la exfiltración de metadatos y la ejecución de comandos remotos.

Expansión geográfica y objetivos estratégicos

Aunque Konni ha centrado históricamente sus ataques en Corea del Sur y entidades gubernamentales, esta nueva oleada muestra una expansión hacia Japón, Australia e India. El enfoque en desarrolladores de blockchain sugiere una motivación doble: el espionaje corporativo para obtener secretos tecnológicos y la posible facilitación de robos de activos digitales, una firma característica de los grupos de amenazas norcoreanos.

Recomendaciones de los expertos

Ante el uso de IA para automatizar y perfeccionar el malware, las firmas de ciberseguridad instan a las organizaciones de tecnología financiera a:

• Reforzar la vigilancia sobre el uso de herramientas de administración remota no autorizadas.

• Implementar análisis de comportamiento que no dependan solo de firmas de archivos, ya que la IA puede mutar el código rápidamente.

• Capacitar a los desarrolladores en la identificación de técnicas avanzadas de redirección de URLs y archivos LNK maliciosos.