El actor de amenazas norcoreano conocido como Konni Se ha observado el uso de malware PowerShell generado mediante herramientas de inteligencia artificial (IA) para atacar a desarrolladores y equipos de ingeniería en el sector blockchain.
La campaña de phishing se ha dirigido a Japón, Australia y la India, lo que pone de relieve la expansión del alcance del objetivo por parte del adversario más allá de Corea del Sur, Rusia, Ucraniay naciones europeasInvestigación de puntos de control dicho en un informe técnico publicado la semana pasada.
Activo desde al menos 2014, Konni es conocido principalmente por apuntar a organizaciones e individuos en Corea del Sur. También se le rastrea como Earth Imp, Opal Sleet, Osmium, TA406 y Vedalia.
En noviembre de 2025, el Centro de seguridad de Genians (GSC) detallado El ataque del grupo de piratas informáticos a los dispositivos Android mediante la explotación del servicio de seguimiento de activos de Google, Find Hub, para restablecer de forma remota los dispositivos de las víctimas y borrar sus datos personales, lo que indica una nueva escalada de su oficio.
Tan recientemente como este mes, se ha observado a Konni distribuyendo correos electrónicos de phishing que contienen enlaces maliciosos disfrazados de URL publicitarias inofensivas asociadas con las plataformas publicitarias de Google y Naver para evitar los filtros de seguridad y entregar un troyano de acceso remoto con nombre en código EndRAT.
La campaña ha sido denominada Operación Poseidón por el GSC, y los ataques se hacen pasar por organizaciones de derechos humanos e instituciones financieras de Corea del Norte en Corea del Sur. Los ataques también se caracterizan por el uso de sitios web de WordPress mal protegidos para distribuir malware y para la infraestructura de comando y control (C2).
Se ha descubierto que los mensajes de correo electrónico se hacen pasar por avisos financieros, como confirmaciones de transacciones o solicitudes de transferencia bancaria, para engañar a los destinatarios para que descarguen archivos ZIP alojados en sitios de WordPress. El archivo ZIP viene con un acceso directo de Windows (LNK) que está diseñado para ejecutar un script AutoIt disfrazado de documento PDF. El script AutoIt es un conocido malware de Konni llamado EndRAT (también conocido como EndClient RAT).
«Este ataque se analiza como un caso que eludió efectivamente el filtrado de seguridad del correo electrónico y la vigilancia del usuario a través de un vector de ataque de phishing que explotó el mecanismo de redirección de clics en anuncios utilizado dentro del ecosistema publicitario de Google», dijo el equipo de seguridad de Corea del Sur. dicho.
«Se confirmó que el atacante utilizó la estructura de URL de redireccionamiento de un dominio utilizado para el seguimiento legítimo de clics en anuncios (ad.doubleclick[.]net) para dirigir incrementalmente a los usuarios a la infraestructura externa donde se alojaban los archivos maliciosos reales».
La última campaña documentada por Check Point aprovecha archivos ZIP que imitan documentos temáticos de requisitos del proyecto y alojados en la red de entrega de contenido (CDN) de Discord para desatar una cadena de ataque de varias etapas que realiza la siguiente secuencia de acciones. Se desconoce el vector de acceso inicial exacto utilizado en los ataques.
- El archivo ZIP contiene un señuelo PDF y un archivo LNK.
- El archivo de acceso directo inicia un cargador de PowerShell integrado que extrae dos archivos adicionales, un documento señuelo de Microsoft Word y un archivo CAB, y se muestra como el documento de Word como mecanismo de distracción.
- El archivo de acceso directo extrae el contenido del archivo CAB, que contiene una puerta trasera de PowerShell, dos scripts por lotes y un ejecutable utilizado para omitir el Control de cuentas de usuario (UAC).
- El primer script por lotes se utiliza para preparar el entorno, establecer la persistencia mediante una tarea programada, preparar la puerta trasera y ejecutarla, tras lo cual se elimina del disco para reducir la visibilidad forense.
- La puerta trasera de PowerShell lleva a cabo una serie de comprobaciones antianálisis y de evasión de la zona de pruebas, y luego procede a perfilar el sistema e intenta elevar los privilegios utilizando el Desvío de UAC de FodHelper técnica
- La puerta trasera realiza la limpieza del ejecutable de omisión de UAC previamente descartado, configura la exclusión de Microsoft Defender para «C:\ProgramData» y ejecuta el segundo script por lotes para reemplazar la tarea programada creada previamente por una nueva que sea capaz de ejecutarse con privilegios elevados.
- La puerta trasera procede a eliminar SimpleHelp, una herramienta legítima de administración y monitoreo remoto (RMM) para acceso remoto persistente, y se comunica con un servidor C2 que está protegido por una puerta de cifrado destinada a bloquear el tráfico que no es del navegador para enviar periódicamente metadatos del host y ejecutar el código PowerShell devuelto por el servidor.
La compañía de ciberseguridad dijo que hay indicios de que la puerta trasera PowerShell se creó con la ayuda de una herramienta de inteligencia artificial, citando su estructura modular, documentación legible por humanos y la presencia de comentarios en el código fuente como «# <– su UUID permanente del proyecto".
«En lugar de centrarse en usuarios finales individuales, el objetivo de la campaña parece ser establecer un punto de apoyo en entornos de desarrollo, donde el compromiso puede proporcionar un acceso posterior más amplio a través de múltiples proyectos y servicios», dijo Check Point. «La introducción de herramientas asistidas por IA sugiere un esfuerzo para acelerar el desarrollo y estandarizar el código sin dejar de confiar en métodos de entrega probados e ingeniería social».
Los hallazgos coinciden con el descubrimiento de múltiples campañas lideradas por Corea del Norte que facilitan el control remoto y el robo de datos.
- Una campaña de phishing que usos Scripts codificados en JavaScript (JSE) que imitan documentos del procesador de textos Hangul (HWPX) y archivos señuelo con temas gubernamentales para implementar un Túnel de Visual Studio Code (VS Code) establecer acceso remoto
- Una campaña de phishing que distribuye Archivos LNK haciéndose pasar por documentos PDF para iniciar un script de PowerShell que detecta entornos virtuales y de análisis de malware y entrega un troyano de acceso remoto llamado pico lunar
- Un conjunto de dos ciberataques, evaluados como realizados por andariel en 2025, que apuntaba a una entidad europea anónima perteneciente al sector legal para entregar rata tigreademás de comprometer el mecanismo de actualización de un proveedor de software de planificación de recursos empresariales (ERP) de Corea del Sur para distribuir tres nuevos troyanos a víctimas posteriores, incluidos StarshellRAT, JelusRAT y GopherRAT.
Según la empresa finlandesa de ciberseguridad WithSecure, el software del proveedor de ERP ha sido el objetivo de compromisos similares en la cadena de suministro dos veces en el pasado (en 2017 y nuevamente en 2024) para implementar familias de malware como HotCroissant y Xctdoor.
Mientras que JelusRAT está escrito en C++ y admite capacidades para recuperar complementos del servidor C2, StarshellRAT está desarrollado en C# y admite la ejecución de comandos, carga/descarga de archivos y captura de pantalla. GopherRAT, por otro lado, se basa en Golang y presenta la capacidad de ejecutar comandos o binarios, filtrar archivos y enumerar el sistema de archivos.
«Sus objetivos han variado con el tiempo; algunas campañas han perseguido ganancias financieras, mientras que otras se han centrado en robar información alineada con las necesidades de inteligencia prioritarias del régimen», dijo el investigador de WithSecure Mohammad Kazem Hassan Nejad. «Esta variabilidad subraya la flexibilidad del grupo y su capacidad para respaldar objetivos estratégicos más amplios a medida que esas prioridades cambian con el tiempo».
Fuente