北朝鮮と関連するKONNIグループによるフィッシングキャンペーンで、AI生成のPowerShellバックドアを用い、APAC地域の開発者とエンジニアを標的にしている。
KONNI APTグループの北朝鮮ハッカーは戦術をエスカレートさせ、AIを採用して高度なPowerShellバックドアを作成している。
Check Point Research(CPR)は、これをソフトウェア開発者やエンジニアリングチーム、特にブロックチェーンや暗号資産プロジェクトを扱う組織を狙ったフィッシング作戦に結び付けている。
KONNIが通常注力してきた韓国の外交・政府部門とは異なり、このキャンペーンは日本、オーストラリア、インドへと拡大している。誘導文は技術スタック、タイムライン、予算を含む正規のプロジェクト文書を装い、API、ウォレット、暗号資産へのアクセスを奪うことを狙う。
攻撃はDiscordリンクからZIP. Insideをダウンロードさせるところから始まる:PDFの誘導ファイルとLNKショートカットが入っている。LNKはPowerShell経由でDOCXのデコイとXORエンコードされたCABを落とす。
CABは、AIで作成されたバックドア(zVJs.ps1)、2つのBATファイル、そしてUACバイパス用のexeを展開する。
第1段階のBATはC:\ProgramData\VljEを作成し、ファイルを移動し、毎時実行される偽の「OneDrive Startup Task」スケジュールタスクを設定する。バックドアをXOR復号(キー:‘Q’)し、メモリ上で実行する:
バックドアは算術的な難読化を用い、IEX実行のために数式演算から文字列を組み立てる。
「# <– your permanent project UUID」のようなコメントや整ったドキュメントはAI生成を強く示唆し、人間のような手順を伴うモジュール化されたセクションはAPTマルウェアでは珍しい。
回避は強力に始まる:CPU/RAMの閾値をチェックし、IDA、Wireshark、Procmonをスキャンし、マウスクリックを監視する。
ミューテックスGlobal\SysInfoProject_f7d77a6d-36e0-4fcb-bae7-5f4b3b723f61により単一インスタンスを保証する。マザーボードのシリアル+システムUUID+キャンペーンIDをSHA-256でハッシュし、ホストIDを生成する。
2025年10月の初期バリアントでは、VBS/BAT/OneDriveUpdater.exe(SimpleHelpをドロップ)を取得するPSローダーが使われていた。
TTPはKONNIと一致する:LNKの構造、モジュール式のBAT/VBSチェーン、Avinash_CV.lnkのような重複する誘導素材。変化は成熟を示しており、AIがツール作成を加速し、ブロックチェーン誘導で金銭的利益を狙い、APACへ拡大している。
これは北朝鮮アクターのAIへの転換を示すもので、従来のフィッシングと新技術を融合し、開発環境での足場確保を狙っていると、Check Pointが報告 している。
翻訳元: https://cyberpress.org/north-korean-ai-malware-targets-devs/