Tác nhân đe dọa từ Triều Tiên được biết đến với tên gọi Konni đã bị phát hiện sử dụng mã độc PowerShell được tạo ra bằng các công cụ trí tuệ nhân tạo (AI) để nhắm mục tiêu vào các nhà phát triển và đội ngũ kỹ thuật trong lĩnh vực blockchain.
Chiến dịch phishing này đã nhắm mục tiêu vào Nhật Bản, Úc và Ấn Độ, làm nổi bật sự mở rộng phạm vi tấn công của nhóm ra ngoài Hàn Quốc, Nga, Ukraine và các quốc gia châu Âu, theo báo cáo kỹ thuật do Check Point Research công bố tuần trước.
Hoạt động từ ít nhất năm 2014, Konni chủ yếu được biết đến với việc nhắm mục tiêu vào các tổ chức và cá nhân ở Hàn Quốc. Nhóm này cũng được theo dõi dưới các tên khác như Earth Imp, Opal Sleet, Osmium, TA406 và Vedalia.
Vào tháng 11 năm 2025, Genians Security Center (GSC) đã công bố chi tiết về việc nhóm tin tặc này nhắm mục tiêu vào các thiết bị Android bằng cách khai thác dịch vụ theo dõi tài sản của Google là Find Hub, để từ xa đặt lại thiết bị của nạn nhân và xóa dữ liệu cá nhân khỏi chúng, báo hiệu một sự leo thang mới trong kỹ thuật tấn công của chúng.
Mới đây trong tháng này, Konni đã bị phát hiện phát tán các email spear-phishing chứa các liên kết độc hại được ngụy trang thành các URL quảng cáo vô hại liên quan đến các nền tảng quảng cáo của Google và Naver để vượt qua các bộ lọc bảo mật và phân phối một remote access trojan có tên mã là EndRAT.
Chiến dịch này được GSC đặt tên mã là Operation Poseidon, với các cuộc tấn công mạo danh các tổ chức nhân quyền và tổ chức tài chính của Triều Tiên ở Hàn Quốc. Các cuộc tấn công cũng được đặc trưng bởi việc sử dụng các trang web WordPress không được bảo mật đúng cách để phát tán mã độc và làm cơ sở hạ tầng Command-and-Control (C2).
Các tin nhắn email được phát hiện ngụy trang thành các thông báo tài chính, chẳng hạn như xác nhận giao dịch hoặc yêu cầu chuyển khoản, để lừa người nhận tải xuống các tệp lưu trữ ZIP được lưu trữ trên các trang web WordPress. Tệp ZIP đi kèm với một Windows shortcut (LNK) được thiết kế để thực thi một script AutoIt ngụy trang thành tài liệu PDF. Script AutoIt này là một mã độc Konni đã biết có tên EndRAT (còn gọi là EndClient RAT).
“Cuộc tấn công này được phân tích là một trường hợp đã vượt qua hiệu quả bộ lọc bảo mật email và sự cảnh giác của người dùng thông qua một vector tấn công spear-phishing khai thác cơ chế chuyển hướng nhấp chuột quảng cáo được sử dụng trong hệ sinh thái quảng cáo của Google,” tổ chức an ninh Hàn Quốc cho biết.
“Đã xác nhận rằng kẻ tấn công đã sử dụng cấu trúc URL chuyển hướng của một miền được dùng để theo dõi nhấp chuột quảng cáo hợp pháp (ad.doubleclick[.]net) để dần dần hướng người dùng đến cơ sở hạ tầng bên ngoài nơi các tệp độc hại thực sự được lưu trữ.”
Chuỗi tấn công mới của Konni
Chiến dịch mới nhất được Check Point ghi nhận đã sử dụng các tệp ZIP mô phỏng tài liệu theo chủ đề yêu cầu dự án và được lưu trữ trên Content Delivery Network (CDN) của Discord để triển khai một chuỗi tấn công nhiều giai đoạn thực hiện các hành động sau. Vector truy cập ban đầu chính xác được sử dụng trong các cuộc tấn công vẫn chưa được xác định.
- Tệp lưu trữ ZIP chứa một tệp PDF giả mạo (decoy) và một tệp LNK
- Tệp shortcut khởi chạy một PowerShell loader nhúng, giải nén hai tệp bổ sung, một tài liệu Microsoft Word mồi nhử và một CAB archive, đồng thời hiển thị tài liệu Word như một cơ chế đánh lạc hướng
- Tệp shortcut giải nén nội dung của CAB archive, chứa một PowerShell Backdoor, hai batch script và một tệp thực thi được sử dụng để bypass User Account Control (UAC)
- Batch script đầu tiên được sử dụng để chuẩn bị môi trường, thiết lập persistence bằng một scheduled task, dàn dựng và thực thi backdoor, sau đó tự xóa khỏi ổ đĩa để giảm khả năng bị phát hiện pháp y
- Backdoor PowerShell thực hiện một loạt các kiểm tra anti-analysis và sandbox-evasion, sau đó tiến hành thu thập thông tin hệ thống và cố gắng leo thang đặc quyền bằng kỹ thuật FodHelper UAC bypass
- Backdoor thực hiện dọn dẹp tệp thực thi UAC bypass đã thả trước đó, cấu hình loại trừ Microsoft Defender cho "C:\ProgramData," và chạy batch script thứ hai để thay thế scheduled task đã tạo trước đó bằng một task mới có khả năng chạy với đặc quyền cao hơn
- Backdoor tiếp tục thả SimpleHelp, một công cụ Remote Monitoring and Management (RMM) hợp pháp để truy cập từ xa liên tục, và giao tiếp với một C2 server được bảo vệ bởi một encryption gate nhằm chặn lưu lượng không phải trình duyệt để định kỳ gửi metadata máy chủ và thực thi mã PowerShell được máy chủ trả về
Công ty an ninh mạng cho biết có những dấu hiệu cho thấy backdoor PowerShell này được tạo ra với sự hỗ trợ của một công cụ AI, dựa trên cấu trúc mô-đun của nó, tài liệu dễ đọc và sự hiện diện của các bình luận trong mã nguồn như "# <– your permanent project UUID."
“Thay vì tập trung vào người dùng cuối cá nhân, mục tiêu của chiến dịch dường như là thiết lập chỗ đứng trong các môi trường phát triển, nơi sự thỏa hiệp có thể cung cấp quyền truy cập rộng hơn xuống các dự án và dịch vụ khác,” Check Point cho biết. “Việc giới thiệu các công cụ hỗ trợ AI cho thấy nỗ lực tăng tốc phát triển và chuẩn hóa mã trong khi vẫn tiếp tục dựa vào các phương pháp phân phối đã được chứng minh và kỹ thuật social engineering.”
Các chiến dịch liên quan khác của Triều Tiên
Những phát hiện này trùng khớp với việc phát hiện nhiều chiến dịch do Triều Tiên dẫn đầu nhằm mục đích kiểm soát từ xa và đánh cắp dữ liệu:
- Một chiến dịch spear-phishing sử dụng các script JavaScript Encoded (JSE) mô phỏng tài liệu Hangul Word Processor (HWPX) và các tệp giả mạo theo chủ đề chính phủ để triển khai một Visual Studio Code (VS Code) tunnel nhằm thiết lập truy cập từ xa
- Một chiến dịch phishing phân phối các tệp LNK ngụy trang thành tài liệu PDF để khởi chạy một PowerShell script phát hiện môi trường ảo và phân tích mã độc, sau đó phân phối một remote access trojan có tên MoonPeak
- Một chuỗi hai cuộc tấn công mạng, được đánh giá là do Andariel thực hiện vào năm 2025, đã nhắm mục tiêu vào một thực thể châu Âu giấu tên thuộc lĩnh vực pháp lý để phân phối TigerRAT, cũng như thỏa hiệp cơ chế cập nhật của một nhà cung cấp phần mềm Enterprise Resource Planning (ERP) Hàn Quốc để phân phối ba trojan mới cho các nạn nhân cuối cùng, bao gồm StarshellRAT, JelusRAT và GopherRAT
Theo công ty an ninh mạng Phần Lan WithSecure, phần mềm của nhà cung cấp ERP này đã là mục tiêu của các cuộc supply chain compromises tương tự hai lần trong quá khứ – vào năm 2017 và một lần nữa vào năm 2024 – để triển khai các họ mã độc như HotCroissant và Xctdoor.
Trong khi JelusRAT được viết bằng C++ và hỗ trợ các khả năng lấy plugin từ C2 server, StarshellRAT được phát triển bằng C# và hỗ trợ command execution, file upload/download và screenshot capture. GopherRAT, mặt khác, dựa trên Golang và có khả năng chạy lệnh hoặc tệp nhị phân, exfiltrate tệp và liệt kê hệ thống tệp.
“Mục tiêu và phương thức tấn công của chúng đã thay đổi theo thời gian; một số chiến dịch tìm kiếm lợi ích tài chính, trong khi những chiến dịch khác tập trung vào việc đánh cắp thông tin phù hợp với nhu cầu tình báo ưu tiên của chế độ,” nhà nghiên cứu Mohammad Kazem Hassan Nejad của WithSecure cho biết. “Sự đa dạng này nhấn mạnh tính linh hoạt của nhóm và khả năng hỗ trợ các mục tiêu chiến lược rộng lớn hơn khi những ưu tiên đó thay đổi theo thời gian.”
