Північнокорейське хакерське угруповання Konni почало використовувати PowerShell-шкідливе ПЗ, створене за допомогою штучного інтелекту, для атак на розробників та інженерні команди у сфері блокчейну. Кампанія демонструє зростання технічної зрілості атак і зміну фокусу — від окремих користувачів до цілих середовищ розробки.
За даними Check Point Research, нова фішинг-кампанія Konni націлена на Японію, Австралію та Індію, що свідчить про розширення географії атак за межі традиційних регіонів — Південної Кореї, України, Росії та Європи. Група, активна щонайменше з 2014 року, також відома під назвами Earth Imp, Opal Sleet, Osmium, TA406 та Vedalia.
Атаки використовують ZIP-архіви з приманками, які містять PDF-документи та ярлики LNK. Після відкриття ярлика запускається PowerShell-лоадер, який розгортає багатоступеневий ланцюг зараження: створення персистентності, обхід UAC, вимкнення Microsoft Defender, збір системної інформації та встановлення легітимного RMM-інструмента SimpleHelp для віддаленого доступу.
Дослідники зазначають, що код бекдору має ознаки AI-генерації: модульну структуру, коментарі у вихідному коді, читабельну документацію та стандартизований стиль, нетиповий для класичних APT-кампаній. Раніше Konni вже фігурувала в кампаніях проти Android-пристроїв, у зловживанні рекламними платформами Google і Naver, а також у фішингових операціях під виглядом правозахисних і фінансових організацій. Паралельно з цим інші північнокорейські угруповання активно використовують AI-згенеровані приманки, LNK-файли та supply chain-атаки для доставки RAT і бекдорів.
Кампанія Konni показує, що AI дедалі активніше використовується не лише для автоматизації, а й для стандартизації шкідливого коду. Зміщення фокусу на середовища розробки створює ризик ланцюгових компрометацій, коли одна атака може вплинути одразу на десятки проєктів і сервісів.
