北朝鮮と関連する脅威集団KONNIは、生成技術を取り入れて悪性の武器庫を洗練させる一方で、作戦上の活動範囲を大幅に拡大している。Check Point Researchによる包括的な調査は、ブロックチェーン分野の開発者およびエンジニアリング集団を罠にかけることに特化した攻撃を明らかにしている。日本、オーストラリア、インドへと手を伸ばすことで、同グループは従来の地政学的影響圏を明確に超越した。
攻撃者は、上位レベルのプロジェクト設計図を装った欺瞞的な文書を用い、システムアーキテクチャ、技術スタック、予算とスケジュールの見通しを詳細に記載する。主目的は依然として、ミッション・クリティカルなテレメトリおよびインフラへのアクセスの流出であり、特にAPI認証情報、デジタルウォレット、各種暗号資産を標的としている。
初期感染は、Discord経由でZIPアーカイブを取得することで引き起こされる。中にはPDF文書と致命的なLNKショートカットが含まれており、後者が起動されるとPowerShellローダーを実行する。この段階はDOCXファイルとCABアーカイブの抽出へと分岐し、両者が中核となる悪性コンポーネント(2つのバッチスクリプトと、ユーザーアカウント制御(UAC)回避のために設計された実行ファイルを含む)を内包している。
一方のバッチスクリプトは、ペイロードをホストするためにシステムディレクトリ内へ秘密のリポジトリを作成する。続いて、正規のOneDrive操作に偽装した欺瞞的なスケジュールタスクが設定され、暗号化されたPowerShellスクリプトを毎時実行する。このスクリプトは揮発性メモリ内でのみ復号され直ちに実行され、起動に関するフォレンジック痕跡は綿密に消去される。
このマルウェアの際立った特徴は、複雑な算術式を用いて文字列を組み立て、従来の解析を回避する強力な難読化にある。しかし、基盤となるアーキテクチャ、文書の性質、そして「UUIDを置き換えるように」といった指示などの特異なコメントの存在は、生成AIの関与を強く示唆している。この仮説は、機械学習支援による合成に特徴的なコード断片の存在によって、さらに裏付けられる。
稼働すると、スクリプトは厳格な環境監査を実施し、周辺機器の動き、フォレンジックツールの不在、最低限のハードウェア要件を検証する。次に、C2(コマンド&コントロール)サーバーとの通信を容易にするため、固有のマシン識別子を収集してハッシュ化する。UAC回避によって獲得した昇格権限の程度に応じて、マルウェアはWindows Defenderに例外を追加したり、高権限の永続タスクを確立したりする可能性がある。
SYSTEMレベルの権限が得られた場合、マルウェアは正規のリモート管理ツールであるSimpleHelpを展開し、侵入者に被害者環境への長期的な対話型アクセスを付与する。C2インフラとの通信には高度なボット検知回避が用いられ、PowerShellスクリプトがJavaScript実行をエミュレートして必要な認可トークンを取得する。
この調査では、2025年10月にさかのぼる本感染チェーンの前駆体も明らかになり、環境準備のために別系統のVBSおよびバッチスクリプトが使用されていた。機能上の目的は一貫しているものの、現在の手法はより高い度合いでアーキテクチャが統合されている。命名、感染ロジック、モジュール設計における顕著な類似性は、このキャンペーンがKONNIの仕業であることを裏付けており、従来の戦術が最先端の技術力と合流する進化を示している。
翻訳元: https://meterpreter.org/the-ai-pivot-north-koreas-konni-group-weaponizes-genai-to-trap-developers/
