El actor de amenazas norcoreano conocido como Konni se ha observado el uso de malware PowerShell generado con herramientas de inteligencia artificial (IA) para dirigirse a desarrolladores y equipos de ingeniería del sector de la cadena de bloques.

La campaña de suplantación de identidad se ha dirigido a Japón, Australia e India, lo que pone de relieve la expansión del alcance de la segmentación por parte del adversario más allá Corea del Sur , Rusia , Ucrania , y naciones europeas , Check Point Research dijo en un informe técnico publicado la semana pasada.

Activa al menos desde 2014, Konni es conocida principalmente por atacar a organizaciones e individuos en Corea del Sur. También es rastreado como Earth Imp, Opal Sleet, Osmium, TA406 y Vedalia.

En noviembre de 2025, el Genians Security Center (GSC) detallada los ataques del grupo de hackers contra los dispositivos Android mediante la explotación del servicio de seguimiento de activos de Google, Find Hub, para restablecer de forma remota los dispositivos de las víctimas y borrar sus datos personales, lo que indica una nueva escalada en su oficio.

Tan recientemente como este mes, se observó que Konni distribuía correos electrónicos de suplantación de identidad con enlaces maliciosos disfrazados de URL publicitarias inofensivas asociadas a las plataformas publicitarias de Google y Naver para eludir los filtros de seguridad y ofrecer un troyano de acceso remoto con el nombre en código EndRat.

El GSC ha dado a la campaña el nombre en clave de Operación Poseidón, y los ataques se hacen pasar por organizaciones de derechos humanos e instituciones financieras norcoreanas en Corea del Sur. Los ataques también se caracterizan por el uso de sitios web de WordPress mal protegidos para distribuir malware y para la infraestructura de comando y control (C2).

Se ha descubierto que los mensajes de correo electrónico se hacen pasar por avisos financieros, como confirmaciones de transacciones o solicitudes de transferencias bancarias, para engañar a los destinatarios para que descarguen archivos ZIP alojados en sitios de WordPress. El archivo ZIP viene con un acceso directo de Windows (LNK) diseñado para ejecutar un script de AutoIt disfrazado de documento PDF. El script AutoIt es un conocido malware de Konni llamado EndRAT (también conocido como EndClient RAT).

«Este ataque se analiza como un caso que eludió eficazmente la seguridad del correo electrónico, el filtrado y la vigilancia de los usuarios mediante un vector de ataque de spear-phising que explotó el mecanismo de redireccionamiento de clics de anuncios utilizado en el ecosistema publicitario de Google», dijo la agencia de seguridad surcoreana. dijo .

«Se confirmó que el atacante utilizó la estructura de URL de redirección de un dominio utilizado para el seguimiento legítimo de los clics en anuncios (ad.doubleclick [.] net) para dirigir gradualmente a los usuarios a una infraestructura externa donde se alojaban archivos maliciosos reales».

La última campaña documentada por Check Point aprovecha los archivos ZIP que imitan los documentos relacionados con los requisitos del proyecto y se alojan en la red de entrega de contenido (CDN) de Discord para lanzar una cadena de ataques de varias etapas que realiza la siguiente secuencia de acciones. Se desconoce el vector de acceso inicial exacto utilizado en los ataques.

  • El archivo ZIP contiene un señuelo PDF y un archivo LNK
  • El archivo de acceso directo abre un cargador de PowerShell integrado que extrae dos archivos adicionales, un documento de señuelo de Microsoft Word y un archivo CAB, y se muestra como documento de Word como mecanismo de distracción.
  • El archivo de acceso directo extrae el contenido del archivo CAB, que contiene un Backdoor de PowerShell, dos scripts por lotes y un ejecutable que se utiliza para eludir el Control de cuentas de usuario (UAC)
  • El primer script por lotes se usa para preparar el entorno, establecer la persistencia mediante una tarea programada, organizar el backdoor y ejecutarlo, tras lo cual se borra del disco para reducir la visibilidad forense
  • La puerta trasera de PowerShell lleva a cabo una serie de comprobaciones antianálisis y de evasión del entorno aislado y, a continuación, procede a perfilar el sistema e intenta aumentar los privilegios mediante el Bypass FodHelper UAC técnica
  • La puerta trasera limpia el ejecutable de omisión de UAC eliminado anteriormente, configura la exclusión de Microsoft Defender para "C:\ProgramData» y ejecuta el segundo script por lotes para reemplazar la tarea programada creada anteriormente por una nueva que pueda ejecutarse con privilegios elevados
  • La puerta trasera elimina SimpleHelp, una herramienta legítima de supervisión y administración remotas (RMM) para el acceso remoto persistente, y se comunica con un servidor C2 que está protegido por una puerta de cifrado destinada a bloquear el tráfico que no es del navegador para enviar periódicamente los metadatos del host y ejecutar el código de PowerShell devuelto por el servidor

La empresa de ciberseguridad dijo que hay indicios de que la puerta trasera de PowerShell se creó con la ayuda de una herramienta de inteligencia artificial, citando su estructura modular, su documentación legible por humanos y la presencia de comentarios en el código fuente como «# <— el UUID permanente de su proyecto».

«En lugar de centrarse en los usuarios finales individuales, el objetivo de la campaña parece ser afianzarse en los entornos de desarrollo, donde el compromiso puede proporcionar un acceso posterior más amplio a múltiples proyectos y servicios», afirma Check Point. «La introducción de herramientas asistidas por inteligencia artificial sugiere un esfuerzo por acelerar el desarrollo y estandarizar el código, sin dejar de confiar en métodos de entrega comprobados y en la ingeniería social».

Los hallazgos coinciden con el descubrimiento de múltiples campañas dirigidas por Corea del Norte que facilitan el control remoto y el robo de datos -

  • Una campaña de spear-phising que usos Secuencias de comandos codificadas en JavaScript (JSE) que imitan documentos del procesador de textos Hangul (HWPX) y archivos señuelo con temática gubernamental para implementar un Túnel de Visual Studio Code (VS Code) para establecer el acceso remoto
  • Una campaña de suplantación de identidad que distribuye archivos LNK haciéndose pasar por documentos PDF para lanzar un script de PowerShell que detecta entornos virtuales y de análisis de malware y ofrece un troyano de acceso remoto llamado Pico de la luna
  • Un conjunto de dos ciberataques, evaluados como realizados por Andariel en 2025, que tuvo como objetivo a una entidad europea anónima que pertenecía al sector legal para cumplir Rata tigre , además de comprometer el mecanismo de actualización de un proveedor de software de planificación de recursos empresariales (ERP) surcoreano para distribuir tres nuevos troyanos a las víctimas posteriores, incluidas StarShellRAT, JelusRAT y GopherrAT

Según la empresa finlandesa de ciberseguridad WithSecure, el software del proveedor de ERP ha sido el objetivo de compromisos similares en la cadena de suministro dos veces en el pasado (en 2017 y nuevamente en 2024) para implementar familias de malware como HotCroissant y Xctdoor.

Si bien JelusRAT está escrito en C++ y admite capacidades para recuperar complementos del servidor C2, StarShellRAT está desarrollado en C# y admite la ejecución de comandos, la carga/descarga de archivos y la captura de capturas de pantalla. GoPherRAT, por otro lado, se basa en Golang y ofrece la posibilidad de ejecutar comandos o archivos binarios, filtrar archivos y enumerar el sistema de archivos.

«Sus objetivos y objetivos han variado a lo largo del tiempo; algunas campañas han perseguido obtener beneficios económicos, mientras que otras se han centrado en robar información alineada con las necesidades prioritarias de inteligencia del régimen», dijo el investigador de WithSecure, Mohammad Kazem Hassan Nejad. «Esta variabilidad subraya la flexibilidad del grupo y su capacidad para apoyar objetivos estratégicos más amplios a medida que esas prioridades cambian con el tiempo».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.