Nhóm tin tặc Konni liên quan Triều Tiên đang nhắm vào kỹ sư blockchain bằng mã độc PowerShell có dấu hiệu được tạo hoặc hỗ trợ bởi AI, nhằm xâm nhập môi trường phát triển và chiếm quyền với tài sản nhạy cảm như API, ví và hạ tầng.
Chiến dịch mới cho thấy xu hướng kẻ tấn công kết hợp mồi nhử tài liệu và kỹ thuật ẩn mình tinh vi để vượt qua phát hiện. Các nhà nghiên cứu ghi nhận nạn nhân xuất hiện tại nhiều quốc gia châu Á – Thái Bình Dương, làm tăng rủi ro cho các đội ngũ phát triển Web3 và doanh nghiệp crypto.
- Konni phát tán mã độc PowerShell có dấu hiệu do AI/LLM hỗ trợ, nhắm vào kỹ sư và nhà phát triển blockchain.
- Chuỗi tấn công dùng link Discord, file ZIP, PDF mồi nhử và shortcut LNK để chạy loader/backdoor, kèm cơ chế né phân tích và tự xóa dấu vết.
- Mục tiêu là chiếm quyền môi trường phát triển để truy cập hạ tầng, API credentials, quyền ví và tài sản số.
Konni triển khai mã độc tạo bởi AI để tấn công kỹ sư blockchain
Mã độc PowerShell trong chiến dịch mới có dấu hiệu được phát triển với sự hỗ trợ của AI, tập trung vào việc xâm nhập máy của kỹ sư blockchain nhằm đánh cắp dữ liệu và quyền truy cập liên quan đến hạ tầng, API và ví crypto.
Nhóm Konni được cho là hoạt động ít nhất từ năm 2014 và được liên hệ với các cụm hoạt động APT37 và Kimusky. Trước đó, các mục tiêu bị ghi nhận trải rộng tại Hàn Quốc, Ukraine, Nga và một số quốc gia châu Âu.
Mẫu đe dọa do các nhà nghiên cứu của Check Point phân tích cho thấy chiến dịch gần đây tập trung vào khu vực châu Á – Thái Bình Dương. Theo mô tả, người dùng báo cáo đã gặp mẫu mã độc tại Nhật Bản, Ấn Độ và Australia.
Chuỗi lây nhiễm bắt đầu từ Discord, ZIP, PDF mồi nhử và file LNK
Kẻ tấn công gửi một liên kết Discord dẫn tới gói ZIP chứa PDF làm mồi và một shortcut LNK độc hại; khi mở LNK, loader PowerShell nhúng sẽ kích hoạt các bước cài backdoor.
Trong chuỗi thực thi, LNK chạy một PowerShell loader để giải nén thêm một tài liệu DOCX và một file CAB. Bên trong CAB có PowerShell backdoor, hai batch file và một tệp thực thi dùng để vượt UAC (User Account Control).
Sau khi người dùng khởi chạy shortcut, DOCX được mở và thực thi một batch file đi kèm trong CAB. Nội dung mồi nhử cho thấy ý đồ “xâm nhập môi trường phát triển”, từ đó có thể chạm tới các tài sản nhạy cảm như hạ tầng, thông tin xác thực API, quyền truy cập ví và cuối cùng là lượng tài sản số.
Mã độc thiết lập tác vụ theo lịch, giải mã trong bộ nhớ và tự xóa dấu vết
Mã độc tạo thư mục trung gian cho backdoor, lập tác vụ chạy mỗi giờ giống OneDrive, nạp script PowerShell đã XOR-encrypt để giải mã và chạy trong bộ nhớ, rồi tự xóa nhằm giảm dấu vết nhiễm.
Batch file đầu tiên tạo staging directory cho backdoor và batch file thứ hai. Sau đó, mã độc tạo một scheduled task chạy theo giờ và được đặt tên/hoạt động bắt chước tác vụ khởi động của OneDrive để giảm khả năng bị nghi ngờ.
Tác vụ này đọc một script PowerShell được mã hóa XOR từ ổ đĩa, giải mã và thực thi trong bộ nhớ (in-memory). Khi hoàn tất các bước thiết lập, thành phần khởi tạo sẽ tự xóa để xóa dấu hiệu lây nhiễm.
Backdoor PowerShell che giấu nguồn gốc bằng các kỹ thuật như mã hóa chuỗi dựa trên phép toán, tái tạo chuỗi tại thời điểm chạy và thực thi logic cuối bằng “Invoked-Expression”.
Dấu hiệu cho thấy mã độc được hỗ trợ bởi LLM thay vì viết thủ công
Các nhà nghiên cứu đánh giá script PowerShell có đặc trưng kiểu “AI-generated”, như phần tài liệu đầu file rõ ràng, cấu trúc mô-đun sạch và câu chú thích hướng dẫn thay giá trị placeholder.
Theo phân tích, dấu hiệu nổi bật là phần documentation ở đầu script được viết rõ ràng và có cấu trúc, điều vốn không phổ biến trong mã độc. Ngoài ra, bố cục sạch, dạng mô-đun, và sự xuất hiện của chú thích như “# <– your permanent project UUID” cho thấy phong cách thường gặp trong mã nguồn do mô hình ngôn ngữ lớn (LLM) tạo ra.
Các nhà nghiên cứu cũng lưu ý rằng kiểu diễn đạt này giống “hướng dẫn người dùng” cách tùy biến giá trị placeholder, thường xuất hiện trong script/tài liệu dạng tutorial do AI tạo, hơn là phong cách mã độc truyền thống.
Backdoor kiểm tra môi trường, tạo host ID và liên lạc C2 theo chu kỳ
Trước khi hoạt động, mã độc kiểm tra phần cứng, phần mềm và mức độ hoạt động người dùng để né sandbox; sau đó tạo host ID, liên lạc máy chủ C2 định kỳ, gửi metadata và nhận lệnh PowerShell để thực thi nền.
Check Point mô tả rằng trước khi chạy, mã độc thực hiện kiểm tra phần cứng, phần mềm và hoạt động người dùng để xác định có đang ở môi trường phân tích hay không. Khi vượt qua bước này, nó tạo một định danh máy (unique host ID) và tiếp tục theo luồng hành động đã định sẵn.
Khi backdoor đã kích hoạt, nó liên hệ máy chủ điều khiển (C2) theo chu kỳ để gửi metadata của máy và thăm dò C2 theo các khoảng thời gian ngẫu nhiên. Nếu C2 trả về mã PowerShell, mã này được chuyển thành script block và thực thi thông qua background jobs.
Chỉ báo tấn công giúp đội phòng thủ nhận diện chiến dịch Konni
Các nhà nghiên cứu công bố bộ chỉ báo tấn công (IOC) của chiến dịch để giúp tổ chức phát hiện xâm nhập, đối chiếu trùng khớp và bảo vệ tài sản liên quan đến môi trường phát triển và hệ thống crypto.
Việc quy kết cho tác nhân Konni dựa trên các dấu hiệu như định dạng launcher và tên mồi nhử từng thấy trước đó. Ngoài trùng lặp tên script, chuỗi thực thi cũng có các điểm tương đồng với những chiến dịch cũ.
Nhóm nghiên cứu đã công bố các indicators of compromise (IOC) liên quan chiến dịch mới để hỗ trợ đội phòng thủ nhận diện dấu hiệu bị tấn công và triển khai biện pháp bảo vệ phù hợp cho hệ thống, dữ liệu và tài sản số.
Những câu hỏi thường gặp
Konni đang nhắm vào đối tượng nào trong ngành tiền điện tử?
Chiến dịch được mô tả là tập trung vào các nhà phát triển và kỹ sư trong lĩnh vực blockchain, với mục tiêu xâm nhập môi trường phát triển để lấy thông tin nhạy cảm như hạ tầng, API credentials và quyền truy cập ví.
Mã độc được phát tán bằng cách nào?
Nạn nhân nhận một liên kết Discord tải về file ZIP chứa PDF mồi nhử và shortcut LNK độc hại. LNK kích hoạt loader PowerShell để thả DOCX và CAB, từ đó cài PowerShell backdoor cùng các thành phần hỗ trợ.
Vì sao các nhà nghiên cứu cho rằng mã độc có dấu hiệu do AI hỗ trợ?
Script có documentation đầu file rõ ràng, bố cục mô-đun sạch và chú thích kiểu “hướng dẫn thay placeholder” như “your permanent project UUID”, đây là đặc trưng thường gặp trong mã do LLM hỗ trợ tạo hơn là mã độc viết thủ công.
Mã độc né phân tích và che giấu như thế nào?
Nó kiểm tra phần cứng, phần mềm và hoạt động người dùng để tránh chạy trong môi trường phân tích, dùng mã hóa/khôi phục chuỗi khi chạy, thực thi bằng “Invoked-Expression”, tạo scheduled task giống OneDrive, chạy giải mã trong bộ nhớ và tự xóa để giảm dấu vết.
Khi đã nhiễm, backdoor giao tiếp C2 ra sao?
Backdoor liên hệ máy chủ C2 định kỳ để gửi metadata máy, thăm dò theo khoảng thời gian ngẫu nhiên và có thể nhận mã PowerShell từ C2 để chuyển thành script block, sau đó thực thi bằng các background jobs.
