Группа хакеров KONNI, связанная с КНДР, совершила качественный скачок, начав массово использовать генеративный ИИ для создания вредоносного кода. Аналитики Check Point Research обнаружили, что нейросети пишут для них сложные, обфусцированные скрипты, которые сложнее обнаружить. Однако в коде остались характерные «артефакты» ИИ — шаблонные комментарии и структуры, что и выдало новый подход. Группа также расширила цели, атакуя блокчейн-разработчиков в Японии, Австралии и Индии.
Атака начинается с фишинга в Discord: жертвам под видом проектной документации подсовывают архив. Внутри скрыт вредоносный ярлык, запуск которого инициирует цепную реакцию. PowerShell-загрузчик тайно загружает основную полезную нагрузку, которая создает скрытую папку и прописывается в планировщике Windows, маскируясь под задачу OneDrive для ежечасного запуска.
«Сердце» атаки — живучий PowerShell-скрипт, который каждый час расшифровывается в памяти, выполняет команды и стирает следы. Он проверяет окружение, собирает данные системы и устанавливает связь с сервером. При необходимости вредоносное ПО эскалирует привилегии, отключает защиту Windows Defender и переустанавливает себя с правами администратора.
Главная цель — тихая установка легитимного инструмента удаленного доступа SimpleHelp, дающего хакерам полный контроль над системой жертвы. Весь трафик при этом маскируется под легитимный веб-запрос. Эта кампания показывает эволюцию угроз: KONNI сочетает проверенные методы с мощью ИИ, создавая более опасные и изощренные гибридные атаки, что является тревожным сигналом для всей индустрии кибербезопасности.