استفاده گروه Konni از بدافزار پاورشل مبتنی بر هوش مصنوعی برای نفوذ به حوزه بلاکچین

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی کارزاری جدید خبر داده‌اند که در آن گروه Konni با بهره‌گیری از بدافزار پاورشل تولیدشده با کمک هوش مصنوعی، توسعه‌دهندگان و تیم‌های فنی فعال در حوزه بلاکچین را هدف قرار داده است.

به گزارش کمیته رکن چهارم، تحقیقات منتشرشده از سوی Check Point Research نشان می‌دهد یک گروه تهدید منتسب به کره شمالی با نام Konni در حال اجرای کارزار فیشینگ هدفمندی است که به‌طور ویژه فعالان حوزه بلاکچین، از جمله توسعه‌دهندگان و تیم‌های مهندسی پروژه‌های غیرمتمرکز را نشانه گرفته است. این حملات کشورهای ژاپن، استرالیا و هند را در بر گرفته و نشان‌دهنده گسترش دامنه عملیاتی این گروه فراتر از اهداف پیشین آن است.

گروه Konni که حداقل از سال ۲۰۱۴ فعال بوده، پیش‌تر عمدتاً به هدف‌گیری نهادها و افراد در کره جنوبی شناخته می‌شد و با نام‌های دیگری همچون TA406، Opal Sleet، Osmium و Vedalia نیز ردیابی شده است. بررسی‌ها حاکی از آن است که این گروه در ماه‌های اخیر تاکتیک‌های خود را به‌طور محسوسی ارتقا داده و از زیرساخت‌ها و سرویس‌های مشروع برای دور زدن کنترل‌های امنیتی استفاده می‌کند.

در نوامبر ۲۰۲۵، گزارش‌هایی منتشر شد که نشان می‌داد این گروه با سوءاستفاده از سرویس‌های مشروع گوگل، دستگاه‌های اندرویدی را هدف قرار داده و حتی از قابلیت‌های بازنشانی از راه دور برای حذف داده‌های قربانیان استفاده کرده است. همچنین، توزیع ایمیل‌های spear-phishing حاوی لینک‌هایی با ظاهر تبلیغاتی بی‌خطر مرتبط با پلتفرم‌های شناخته‌شده، به‌عنوان روشی برای تحویل تروجان‌های دسترسی از راه دور مورد استفاده قرار گرفته است.

در کارزار جدید بررسی‌شده توسط Check Point، مهاجمان از فایل‌های ZIP میزبانی‌شده روی شبکه توزیع محتوای Discord استفاده می‌کنند که خود را به‌عنوان اسناد مرتبط با «نیازمندی‌های پروژه» معرفی می‌کنند. این آرشیوها شامل یک فایل PDF فریب‌دهنده و یک میان‌بر ویندوز (LNK) هستند که با اجرا شدن، یک زنجیره چندمرحله‌ای آلودگی را فعال می‌کنند.

بر اساس این گزارش، فایل LNK یک لودر پاورشل تعبیه‌شده را اجرا می‌کند که چند فایل دیگر، از جمله یک سند Word برای انحراف توجه کاربر و یک آرشیو CAB را استخراج می‌کند. محتوای آرشیو CAB شامل یک backdoor پاورشل، دو اسکریپت batch و یک فایل اجرایی برای دور زدن کنترل حساب کاربری ویندوز (UAC) است. این اجزا با ایجاد وظایف زمان‌بندی‌شده، تعریف استثنا در Microsoft Defender و تلاش برای افزایش سطح دسترسی، ماندگاری بدافزار را تضمین می‌کنند.

در مرحله بعد، یک ابزار مشروع مدیریت و پایش از راه دور (RMM) با نام SimpleHelp روی سیستم قربانی نصب می‌شود تا دسترسی پایدار از راه دور برای مهاجم فراهم شود. ارتباط با سرور فرماندهی و کنترل از طریق یک دروازه رمزنگاری‌شده برقرار می‌شود که ترافیک غیرمعمول را محدود کرده و به‌صورت دوره‌ای اطلاعات میزبان را ارسال می‌کند.

نکته قابل‌توجه در این کارزار، وجود شواهدی مبنی بر استفاده از ابزارهای هوش مصنوعی در توسعه بدافزار پاورشل است. Check Point به ساختار ماژولار کد، مستندسازی خوانا و وجود کامنت‌های شبه‌تولیدی اشاره کرده که احتمال استفاده از مدل‌های مولد را تقویت می‌کند. به‌نظر می‌رسد این رویکرد با هدف افزایش سرعت توسعه، استانداردسازی کد و کاهش هزینه عملیاتی اتخاذ شده است.

تحلیلگران معتقدند تمرکز این کارزار بر محیط‌های توسعه بلاکچین، به‌جای کاربران عادی، نشان‌دهنده تلاش برای ایجاد دسترسی‌های پایین‌دستی گسترده‌تر به پروژه‌ها، مخازن کد و سرویس‌های وابسته است؛ دسترسی‌هایی که می‌توانند پیامدهای زنجیره‌ای قابل توجهی به‌همراه داشته باشند.

این یافته‌ها هم‌زمان با افشای چندین کارزار دیگر منتسب به بازیگران کره شمالی منتشر شده که شامل حملات فیشینگ با فایل‌های جعلی، سوءاستفاده از سازوکارهای به‌روزرسانی نرم‌افزار و توزیع تروجان‌های متنوع برای سرقت اطلاعات و دسترسی از راه دور بوده است. کارشناسان هشدار می‌دهند که ترکیب روش‌های اثبات‌شده مهندسی اجتماعی با ابزارهای مبتنی بر هوش مصنوعی، سطح تهدید را وارد مرحله‌ای تازه کرده و شناسایی این حملات را برای سازمان‌ها دشوارتر ساخته است.

در مجموع، این تحولات نشان می‌دهد که گروه Konni با انعطاف‌پذیری بالا در حال تطبیق تاکتیک‌های خود با فناوری‌های نوین است و می‌تواند هم‌زمان اهداف مالی و اطلاعاتی را دنبال کند؛ موضوعی که ضرورت افزایش پایش امنیتی در محیط‌های توسعه و زنجیره تأمین نرم‌افزار را برجسته می‌سازد.