文章总结： 朝鲜黑客组织KONNI利用AI生成的PowerShell后门攻击亚太区块链开发人员，攻击通过伪造项目需求文档诱导点击恶意快捷方式，释放无文件载荷并伪装成OneDrive计划任务实现持久化。该恶意软件具备反调试及信息收集功能，鉴于目标掌握核心代码及云权限，此攻击可能导致构建流程被全面渗透，建议重点防范供应链钓鱼及AI辅助生成的恶意代码。 综合评分： 88 文章分类： 威胁情报,恶意软件,AI安全,区块链安全,社会工程学

朝鲜组织KONNI利用人工智能技术生成恶意软件，攻击开发人员和工程团队

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月24日 10:04 北京

与朝鲜结盟的黑客发起了一项新的行动，将人工智能转化为攻击软件团队的武器。

名为 KONNI 的组织利用人工智能编写的 PowerShell 代码，悄悄地植入了一个后门，将真实的项目内容与恶意脚本混合在一起。

这次行动表明，威胁行为者正在以多快的速度采用人工智能工具来加速发展并掩盖其踪迹。

在最新一轮的推广中，KONNI 的目标客户是亚太地区（包括日本、澳大利亚和印度）从事区块链和加密货币项目的开发人员和工程团队。

攻击者精心制作看起来像是真实产品简介的详细需求文档，描述交易机器人、凭证系统和交付路线图，然后将其作为 PDF 诱饵发送出去。

这些文档旨在赢得技术人员的信任，并诱使他们打开附件中的快捷方式文件，从而悄无声息地启动感染链。

Check Point 的研究人员发现该活动是长期运行的 KONNI 集群的一部分，并指出有效载荷是一个 AI 生成的 PowerShell 后门，其中包含大量注释和清晰的结构。

这个后门的功能不仅仅是打开远程门；它还会收集硬件详细信息、检查调试工具，并确保一次只运行一个副本，同时保持专业的、开发者风格的布局。

对于受害组织而言，风险远不止于单个被攻破的工作站。KONNI 通过攻击拥有代码库、云控制台和签名密钥访问权限的开发人员，可以从一个受感染的终端节点蔓延至整个构建流程或生产系统。

感染链和持久化策略

攻击从目标打开 ZIP 压缩包并双击 PDF 诱饵旁边的 Windows 快捷方式文件开始。

该快捷方式运行一个嵌入式PowerShell加载器，该加载器会悄悄地投放第二个诱饵文档和一个压缩的 CAB 存档。

从 CAB 归档文件解压后的批处理文件会将后门移动到隐藏的 ProgramData 文件夹中，并创建一个模拟 OneDrive 启动项的计划任务。

该任务每小时运行一次，使用简单的 XOR 密钥从磁盘解密 PowerShell 有效载荷，并直接在内存中执行，使核心恶意软件在运行时保持无文件状态，从而大大增加事件响应的难度。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《朝鲜组织KONNI利用人工智能技术生成恶意软件，攻击开发人员和工程团队》