L'acteur menaçant nord-coréen connu sous le nom de Connie L'utilisation de logiciels malveillants PowerShell générés par des outils d'intelligence artificielle (IA) a été observée pour attaquer les développeurs et les équipes d'ingénierie du secteur de la blockchain.
La campagne de phishing a ciblé le Japon, l'Australie et l'Inde, soulignant l'expansion de la portée de ciblage de l'adversaire au-delà de la Corée du Sud, de la Russie, de l'Ukraine et des pays européens, a déclaré Check Point Research dans un livre blanc publié la semaine dernière.
Actif depuis au moins 2014, Konni est principalement connu pour cibler des organisations et des individus en Corée du Sud. Il est également suivi sous les noms de Earth Imp, Opal Sleet, Osmium, TA406 et Vedalia.
En novembre 2025, le Genians Security Center (GSC) a détaillé les attaques du groupe de piratage sur les appareils Android en exploitant le service de suivi des actifs de Google, Find Hub, pour réinitialiser à distance les appareils des victimes et effacer leurs données personnelles, indiquant une nouvelle escalade de leur commerce.
Pas plus tard que ce mois-ci, Konni a été observé en train de distribuer des e-mails de phishing contenant des liens malveillants déguisés en URL publicitaires inoffensives associées aux plateformes publicitaires de Google et Naver pour contourner les filtres de sécurité et fournir un cheval de Troie d'accès à distance nommé EndRAT.
La campagne a été baptisée Opération Poséidon par le GSC, et les attaques sont imitées par des organisations nord-coréennes de défense des droits humains et des institutions financières en Corée du Sud. Les attaques se caractérisent également par l’utilisation de sites Web WordPress mal protégés pour distribuer des logiciels malveillants et pour l’infrastructure de commande et de contrôle (C2).
Il a été constaté que les e-mails se faisaient passer pour des avis financiers, tels que des confirmations de transaction ou des demandes de virement bancaire, pour inciter les destinataires à télécharger des fichiers ZIP hébergés sur des sites WordPress. Le fichier ZIP est livré avec un raccourci Windows (LNK) conçu pour exécuter un script AutoIt déguisé en document PDF. Le script AutoIt est un malware Konni bien connu appelé EndRAT (également connu sous le nom de EndClient RAT).
“Cette attaque est analysée comme un cas qui a efficacement contourné le filtrage de sécurité des e-mails et la surveillance des utilisateurs grâce à un vecteur d'attaque de phishing qui exploitait le mécanisme de redirection des clics publicitaires utilisé dans l'écosystème publicitaire de Google”, a déclaré l'équipe de sécurité sud-coréenne.
“Il a été confirmé que l'attaquant avait utilisé la structure d'URL de redirection d'un domaine utilisé pour le suivi légitime des clics publicitaires (ad.doubleclick[.]net) pour diriger progressivement les utilisateurs vers l'infrastructure externe où les fichiers malveillants réels étaient hébergés.
La dernière campagne documentée par Check Point exploite des fichiers ZIP qui imitent les documents d'exigences thématiques du projet et hébergés sur le réseau de diffusion de contenu (CDN) de Discord pour déclencher une chaîne d'attaque à plusieurs étapes qui exécute la séquence d'actions suivante. Le vecteur d’accès initial exact utilisé dans les attaques est inconnu.
- Le fichier ZIP contient un leurre PDF et un fichier LNK.
- Le fichier de raccourci lance un chargeur PowerShell intégré qui extrait deux fichiers supplémentaires, un document Microsoft Word leurre et un fichier CAB, et l'affiche en tant que document Word comme mécanisme de distraction.
- Le fichier de raccourci extrait le contenu du fichier CAB, qui contient une porte dérobée PowerShell, deux scripts batch et un exécutable utilisé pour contourner le contrôle de compte d'utilisateur (UAC).
- Le premier script batch est utilisé pour préparer l'environnement, établir la persistance à l'aide d'une tâche planifiée, préparer la porte dérobée et l'exécuter, après quoi il est supprimé du disque pour réduire la visibilité médico-légale.
- La porte dérobée PowerShell effectue une série de vérifications anti-analyse et d'évasion du bac à sable, puis procède au profilage du système et tente d'élever les privilèges à l'aide de la technique de contournement FodHelper UAC.
- La porte dérobée nettoie l'exécutable de contournement UAC précédemment supprimé, configure l'exclusion Microsoft Defender pour « C:\ProgramData » et exécute le deuxième script batch pour remplacer la tâche planifiée précédemment créée par une nouvelle tâche capable de s'exécuter avec des privilèges élevés.
- La porte dérobée supprime SimpleHelp, un outil légitime de surveillance et de gestion à distance (RMM) pour un accès à distance persistant, et communique avec un serveur C2 protégé par une porte de cryptage destinée à bloquer le trafic non-navigateur pour envoyer périodiquement des métadonnées à l'hôte et exécuter le code PowerShell renvoyé par le serveur.
La société de cybersécurité a déclaré qu'il y avait des indications selon lesquelles la porte dérobée PowerShell avait été créée à l'aide d'un outil d'intelligence artificielle, citant sa structure modulaire, sa documentation lisible par l'homme et la présence de commentaires dans le code source tels que “#
“Plutôt que de se concentrer sur les utilisateurs finaux individuels, l'objectif de la campagne semble être de prendre pied dans les environnements de développement, où l'engagement peut fournir un accès plus large en aval à plusieurs projets et services”, a déclaré Check Point. “L'introduction d'outils assistés par l'IA suggère un effort visant à accélérer le développement et à normaliser le code tout en s'appuyant sur des méthodes de livraison éprouvées et sur l'ingénierie sociale.”
Ces résultats coïncident avec la découverte de plusieurs campagnes menées par la Corée du Nord qui facilitent la surveillance à distance et le vol de données.
- Une campagne de phishing qui utilise des scripts codés en JavaScript (JSE) qui imitent les documents de traitement de texte Hangul (HWPX) et les fichiers honeypot sur le thème du gouvernement pour implémenter un tunnel Visual Studio Code (VS Code) afin d'établir un accès à distance.
- Une campagne de phishing qui distribue des fichiers LNK déguisés en documents PDF pour lancer un script PowerShell qui détecte les environnements virtuels et d'analyse des logiciels malveillants et fournit un cheval de Troie d'accès à distance appelé MoonPeak.
- Une série de deux cyberattaques, qui devraient être menées par Andariel en 2025, ont ciblé une entité européenne anonyme du secteur juridique pour fournir TigerRAT, et ont également compromis le mécanisme de mise à jour d'un fournisseur de logiciels de planification des ressources d'entreprise (ERP) sud-coréen pour distribuer trois nouveaux chevaux de Troie aux victimes ultérieures, notamment StarshellRAT, JelusRAT et GopherRAT.
Selon la société finlandaise de cybersécurité WithSecure, le logiciel de l'éditeur ERP a fait l'objet de compromissions similaires dans la chaîne d'approvisionnement à deux reprises dans le passé (en 2017 et de nouveau en 2024) pour déployer des familles de logiciels malveillants telles que HotCroissant et Xctdoor.
Alors que JelusRAT est écrit en C++ et prend en charge les fonctionnalités permettant de récupérer des plugins à partir du serveur C2, StarshellRAT est développé en C# et prend en charge l'exécution de commandes, le téléchargement/téléchargement de fichiers et la capture d'écran. GopherRAT, quant à lui, est basé sur Golang et offre la possibilité d'exécuter des commandes ou des binaires, de filtrer des fichiers et d'énumérer le système de fichiers.
« Leurs objectifs ont varié au fil du temps ; certaines campagnes visaient des gains financiers, tandis que d'autres se sont concentrées sur le vol d'informations correspondant aux besoins prioritaires du régime en matière de renseignement », a déclaré Mohammad Kazem Hassan Nejad, chercheur chez WithSecure. “Cette variabilité souligne la flexibilité du groupe et sa capacité à soutenir des objectifs stratégiques plus larges à mesure que ces priorités évoluent au fil du temps.”
