Alertan sobre el uso de un backdoor de PowerShell generado por IA por Konni
Publicado el
Introducción
El grupo de cibercriminales conocido como Konni, vinculado a Corea del Norte, ha comenzado a utilizar malware de PowerShell generado por herramientas de inteligencia artificial para atacar a desarrolladores y equipos de ingeniería en el sector de blockchain. Este cambio en su enfoque ha llevado a que las campañas de phishing se extiendan a países como Japón, Australia e India, además de sus habituales objetivos en Corea del Sur, Rusia, Ucrania y varias naciones europeas.Evolución de Konni
Desde al menos 2014, Konni ha sido conocido por su enfoque en organizaciones e individuos en Corea del Sur. Además de su nombre original, ha sido rastreado bajo diversas denominaciones como Earth Imp, Opal Sleet, Osmium, TA406 y Vedalia. En noviembre de 2025, el Genians Security Center (GSC) informó sobre la explotación de dispositivos Android mediante el servicio de seguimiento de activos de Google, lo que permitió a los atacantes reiniciar dispositivos y borrar datos personales de las víctimas.Técnicas de ataque
Recientemente, se ha detectado que Konni distribuye correos electrónicos de spear-phishing que contienen enlaces maliciosos disfrazados de URLs de publicidad aparentemente inofensivas asociadas a plataformas publicitarias de Google y Naver. Esta técnica busca eludir los filtros de seguridad y facilitar la entrega de un troyano de acceso remoto conocido como EndRAT. La campaña ha sido denominada Operación Poseidón por el GSC, y los ataques se caracterizan por suplantar organizaciones de derechos humanos de Corea del Norte y entidades financieras.Los mensajes de correo electrónico suelen aparentar ser notificaciones financieras, como confirmaciones de transacciones o solicitudes de transferencia, para engañar a los destinatarios y que descarguen archivos ZIP alojados en sitios de WordPress. Estos archivos ZIP contienen un acceso directo de Windows (LNK) diseñado para ejecutar un script de AutoIt disfrazado como un documento PDF. Este script es una variante conocida del malware de Konni, EndRAT.
Mecanismo de ataque
El GSC ha señalado que este ataque ha logrado eludir eficazmente los filtros de seguridad del correo electrónico y la vigilancia del usuario a través de un vector de ataque de spear-phishing que explota el mecanismo de redirección de clics publicitarios utilizado en el ecosistema publicitario de Google. Se ha confirmado que los atacantes utilizaron la estructura de URL de un dominio legítimo de seguimiento de clics publicitarios (ad.doubleclick[.]net) para redirigir a los usuarios hacia infraestructuras externas donde se hospedaban los archivos maliciosos.La última campaña documentada por Check Point utiliza archivos ZIP que imitan documentos relacionados con requisitos del proyecto y son alojados en la red de entrega de contenido (CDN) de Discord. Esto desencadena una cadena de ataque en múltiples etapas que realiza las siguientes acciones:
1. El archivo ZIP contiene un PDF de distracción y un archivo LNK. 2. El archivo de acceso directo lanza un cargador de PowerShell incrustado que extrae dos archivos adicionales: un documento de Word y un archivo CAB, mostrando el documento de Word como una distracción. 3. El archivo LNK extrae el contenido del archivo CAB, que contiene un backdoor de PowerShell, dos scripts por lotes y un ejecutable utilizado para eludir el control de cuentas de usuario (UAC).
Conclusiones
El primer script por lotes se utiliza para preparar el entorno y establecer persistencia mediante una tarea programada, además de ejecutar el backdoor, eliminándose a sí mismo del disco para reducir la visibilidad forense. El backdoor de PowerShell realiza una serie de comprobaciones para evitar el análisis y la evasión de entornos de prueba, además de intentar elevar privilegios utilizando la técnica de bypass de UAC conocida como FodHelper.Este tipo de ataques resalta la creciente sofisticación de los métodos utilizados por los grupos de cibercriminales, especialmente en la utilización de herramientas de IA para potenciar sus capacidades de ataque. La ciberseguridad se enfrenta a un reto constante en la identificación y mitigación de estas amenazas.