Даже северокорейским хакерам лень писать код. Теперь за них это делает нейросеть

Хакерская группа KONNI, связанная с КНДР, расширила географию своей активности и внедрила генеративные технологии для создания вредоносного кода. Исследование Check Point Research показало, что атака нацелена на разработчиков и инженерные команды, связанные с блокчейн-проектами. Среди затронутых регионов — Япония, Австралия и Индия, что говорит о выходе за пределы традиционной для группы зоны интересов.

Атакующие используют документы, маскирующиеся под проектную документацию с описанием архитектуры, технических стеков, сроков реализации и бюджетов. Основная цель — получить доступ к критически важной информации и инфраструктуре: API-ключам, кошелькам и другим активам, связанным с криптовалютами.

Начало заражения связано с загрузкой ZIP-архива по ссылке с Discord. Внутри архива — PDF-документ и ярлык LNK, при запуске которого в систему внедряется PowerShell-загрузчик. Он извлекает DOCX-документ и CAB-архив, содержащие основные вредоносные компоненты, включая скрипт на PowerShell, два BAT-файла и исполняемый файл для обхода контроля учётных записей.

Один из BAT-скриптов создаёт скрытую папку в системной директории, куда перемещает полезную нагрузку. Затем создаётся поддельное задание планировщика, маскирующееся под задачу OneDrive, которое каждые 60 минут запускает зашифрованный PowerShell-скрипт. Он расшифровывается в памяти и немедленно выполняется, а следы запуска стираются.

Особенность вредоносного кода — его сильная обфускация, использующая арифметические выражения для создания строк, что затрудняет анализ. Однако структура скрипта, его документация и наличие характерных комментариев, таких как предложение заменить UUID, указывают на использование генеративного ИИ. Это подтверждается наличием сегментов кода, типичных для сгенерированных системами машинного обучения.

После запуска скрипт проводит проверку окружения: наличие движений мыши, установленных программ анализа и минимальных аппаратных параметров. Далее он собирает уникальные идентификаторы машины, хэширует их и использует для связи с сервером управления. В зависимости от уровня привилегий выполняются различные действия, включая эскалацию прав с помощью обхода UAC, добавление исключений в Windows Defender и установку нового задания планировщика с повышенными правами.

В случае выполнения с системными привилегиями вредоносное ПО устанавливает легитимное средство удалённого администрирования SimpleHelp, что даёт злоумышленникам длительный интерактивный доступ к системе жертвы. Обмен с командным сервером ведётся с использованием обхода проверки на ботов: PowerShell-скрипт имитирует выполнение JavaScript-кода, получая токен доступа, необходимый для авторизации на сервере.

Исследование также выявило более ранний вариант цепочки заражения, использованный в октябре 2025 года. В той версии применялись отдельные VBS- и BAT-скрипты для запуска, подготовки среды и закрепления в системе. Хотя функциональность была аналогичной, архитектура вредоносного инструментария выглядела менее унифицированной по сравнению с нынешним подходом.

Сходство в названиях скриптов, логике заражения и использовании модульной архитектуры подтверждает принадлежность кампании к группе KONNI. Одновременное применение ИИ и попытка получить доступ к разработчикам блокчейн-проектов указывает на эволюцию подходов, сочетающих прежнюю тактику с новыми техническими возможностями.