De Noord-Koreaanse dreigingsacteur bekend als Konni Er is waargenomen dat PowerShell-malware werd gebruikt die werd gegenereerd met behulp van kunstmatige intelligentie (AI)-tools om zich te richten op ontwikkelaars en technische teams in de blockchain-sector.
De phishing-campagne heeft zich gericht op Japan, Australië en India, waarbij de uitbreiding van het targetingbereik van de tegenstander wordt benadrukt buiten Zuid-Korea, Rusland, Oekraïne en Europese landen, aldus Check Point Research in een technisch rapport dat vorige week werd gepubliceerd.
Konni is actief sinds tenminste 2014 en staat vooral bekend om zijn targeting op organisaties en individuen in Zuid-Korea. Het wordt ook gevolgd als Earth Imp, Opal Sleet, Osmium, TA406 en Vedalia.
In november 2025 heeft het Genians Security Center (GSC) gedetailleerd beschreven hoe de hackgroep zich op Android-apparaten richtte door gebruik te maken van de asset-trackingservice van Google, Find Hub, om de apparaten van slachtoffers op afstand te resetten en persoonlijke gegevens ervan te wissen, wat een nieuwe escalatie van hun vakmanschap signaleerde.
Deze maand nog is waargenomen dat Konni spear-phishing-e-mails verspreidde met kwaadaardige links die vermomd zijn als onschadelijke advertentie-URL’s die verband houden met de advertentieplatforms van Google en Naver om beveiligingsfilters te omzeilen en een trojan voor externe toegang met de codenaam EndRAT af te leveren.
De campagne heeft door het SGR de codenaam Operatie Poseidon gekregen, waarbij de aanvallen zich voordoen als Noord-Koreaanse mensenrechtenorganisaties en financiële instellingen in Zuid-Korea. De aanvallen worden ook gekenmerkt door het gebruik van niet goed beveiligde WordPress-websites om malware te verspreiden en voor command-and-control (C2)-infrastructuur.
Het is gebleken dat de e-mailberichten zich voordoen als financiële mededelingen, zoals transactiebevestigingen of verzoeken om overboekingen, om de ontvangers te misleiden om ZIP-archieven te downloaden die op WordPress-sites worden gehost. Het ZIP-bestand wordt geleverd met een Windows-snelkoppeling (LNK) die is ontworpen om een AutoIt-script uit te voeren, vermomd als een PDF-document. Het AutoIt-script is een bekende Konni-malware genaamd EndRAT (ook bekend als EndClient RAT).
“Deze aanval wordt geanalyseerd als een geval waarbij de e-mailbeveiligingsfilters en de waakzaamheid van de gebruiker effectief werden omzeild via een spear-phishing-aanvalsvector die misbruik maakte van het omleidingsmechanisme voor advertentieklikken dat wordt gebruikt binnen het advertentie-ecosysteem van Google”, aldus de Zuid-Koreaanse beveiligingsorganisatie.
“Er werd bevestigd dat de aanvaller de omleidings-URL-structuur gebruikte van een domein dat wordt gebruikt voor het volgen van legitieme advertentieklikken (ad.doubleclick(.)net) om gebruikers stapsgewijs naar een externe infrastructuur te leiden waar daadwerkelijk kwaadaardige bestanden werden gehost.”
De nieuwste campagne gedocumenteerd door Check Point maakt gebruik van ZIP-bestanden die documenten met een projectvereisten-thema nabootsen en worden gehost op het Content Delivery Network (CDN) van Discord om een aanvalsketen in meerdere fasen te ontketenen die de volgende reeks acties uitvoert. De exacte initiële toegangsvector die bij de aanvallen wordt gebruikt, is onbekend.
- Het ZIP-archief bevat een PDF-lokvogel en een LNK-bestand
- Het snelkoppelingsbestand lanceert een ingebedde PowerShell-lader die twee extra bestanden extraheert, een Microsoft Word-lokmiddeldocument en een CAB-archief, en wordt weergegeven als het Word-document als een afleidingsmechanisme
- Het snelkoppelingsbestand extraheert de inhoud van het CAB-archief, dat een PowerShell Backdoor, twee batchscripts en een uitvoerbaar bestand bevat dat wordt gebruikt voor het omzeilen van Gebruikersaccountbeheer (UAC).
- Het eerste batchscript wordt gebruikt om de omgeving voor te bereiden, persistentie tot stand te brengen met behulp van een geplande taak, de achterdeur in scène te zetten en deze uit te voeren, waarna deze zichzelf van de schijf verwijdert om de forensische zichtbaarheid te verminderen
- De PowerShell-achterdeur voert een reeks anti-analyse- en sandbox-ontduikingscontroles uit, gaat vervolgens verder met het profileren van het systeem en probeert de bevoegdheden te verhogen met behulp van de FodHelper UAC-bypass-techniek
- De achterdeur voert een opschoning uit van het eerder verwijderde uitvoerbare bestand UAC-bypass, configureert de uitsluiting van Microsoft Defender voor “C:ProgramData” en voert het tweede batchscript uit om de eerder gemaakte geplande taak te vervangen door een nieuwe die met verhoogde rechten kan worden uitgevoerd
- De achterdeur gaat verder met het verwijderen van SimpleHelp, een legitieme Remote Monitoring and Management (RMM)-tool voor permanente toegang op afstand, en communiceert met een C2-server die wordt beveiligd door een coderingspoort die bedoeld is om niet-browserverkeer te blokkeren om periodiek host-metagegevens te verzenden en PowerShell-code uit te voeren die door de server wordt geretourneerd
Het cyberbeveiligingsbedrijf zei dat er aanwijzingen zijn dat de PowerShell-achterdeur is gemaakt met behulp van een AI-tool, daarbij verwijzend naar de modulaire structuur, door mensen leesbare documentatie en de aanwezigheid van broncodecommentaar zoals “# <– uw permanente project-UUID."
“In plaats van zich te concentreren op individuele eindgebruikers, lijkt het doel van de campagne te zijn om voet aan de grond te krijgen in ontwikkelomgevingen, waar compromissen een bredere downstream-toegang kunnen bieden tot meerdere projecten en diensten”, aldus Check Point. “De introductie van AI-ondersteunde tooling suggereert een poging om de ontwikkeling te versnellen en code te standaardiseren, terwijl we blijven vertrouwen op bewezen leveringsmethoden en social engineering.”
De bevindingen vallen samen met de ontdekking van meerdere door Noord-Korea geleide campagnes die afstandsbediening en gegevensdiefstal faciliteren –
- Een spearphishing-campagne die gebruikmaakt van JavaScript Encoded (JSE)-scripts die Hangul Word Processor-documenten (HWPX) en lokbestanden met overheidsthema nabootsen om een Visual Studio Code (VS Code)-tunnel te implementeren om externe toegang tot stand te brengen
- Een phishing-campagne die LNK-bestanden verspreidt die zich voordoen als PDF-documenten om een PowerShell-script te starten dat virtuele en malware-analyseomgevingen detecteert en een trojan voor externe toegang levert, genaamd MoonPeak
- Een reeks van twee cyberaanvallen, vermoedelijk uitgevoerd door Andariel in 2025, die gericht waren op een niet nader genoemde Europese entiteit die tot de juridische sector behoort om TigerRAT te leveren, en die het updatemechanisme van een Zuid-Koreaanse Enterprise Resource Planning (ERP) softwareleverancier in gevaar brachten om drie nieuwe trojans te verspreiden onder downstream-slachtoffers, waaronder StarshellRAT, JelusRAT en GopherRAT
Volgens het Finse cyberbeveiligingsbedrijf WithSecure is de software van de ERP-leverancier in het verleden tweemaal het doelwit geweest van soortgelijke compromissen in de toeleveringsketen – in 2017 en opnieuw in 2024 – om malwarefamilies als HotCroissant en Xctdoor in te zetten.
Terwijl JelusRAT is geschreven in C++ en mogelijkheden ondersteunt om plug-ins op te halen van de C2-server, is StarshellRAT ontwikkeld in C# en ondersteunt het uitvoeren van opdrachten, het uploaden/downloaden van bestanden en het vastleggen van schermafbeeldingen. GopherRAT daarentegen is gebaseerd op Golang en biedt de mogelijkheid om opdrachten of binaire bestanden uit te voeren, bestanden te exfiltreren en het bestandssysteem op te sommen.
“Hun doelgerichtheid en doelstellingen zijn in de loop van de tijd gevarieerd; sommige campagnes hebben financieel gewin nagestreefd, terwijl andere zich hebben gericht op het stelen van informatie die aansluit bij de prioritaire inlichtingenbehoeften van het regime”, aldus WithSecure-onderzoeker Mohammad Kazem Hassan Nejad. “Deze variabiliteit onderstreept de flexibiliteit van de groep en haar vermogen om bredere strategische doelen te ondersteunen naarmate die prioriteiten in de loop van de tijd veranderen.”
