文章总结： 朝鲜Konni黑客利用AI生成高度混淆的PowerShell后门，通过Discord投递ZIP含PDF诱饵与LNK，落地后创建伪OneDrive计划任务每小时解密执行XOR脚本，绕过UAC并清痕，定向窃取区块链工程师的开发环境、API凭证及加密资产，攻击链显示AI辅助编码特征如模块化结构与项目UUID注释 综合评分： 87 文章分类： 恶意软件,威胁情报,区块链安全,红队,漏洞分析

Konni黑客利用人工智能构建的恶意软件攻击区块链工程师

原创

ZM ZM

暗镜

2026年1月26日 11:00 北京

朝鲜黑客组织 Konni（Opal Sleet，TA406）正在使用人工智能生成的 PowerShell 恶意软件攻击区块链领域的开发人员和工程师。

据信与 APT37 和 Kimsuky 活动集群有关，Konni 至少从 2014 年起就一直很活跃，并被发现以 韩国、俄罗斯、乌克兰和欧洲各国的组织为目标。

根据 Check Point 研究人员分析的样本，该威胁行为者的最新攻击活动主要针对亚太地区的目标，因为该恶意软件是从日本、澳大利亚和印度提交的。

攻击始于受害者收到一个 Discord 托管的链接，该链接会提供一个 ZIP 压缩包，其中包含一个 PDF 诱饵文件和一个恶意 LNK 快捷方式文件。

LNK 运行一个嵌入式 PowerShell 加载器，该加载器提取一个 DOCX 文档和一个 CAB 归档文件，其中包含 PowerShell 后门、两个批处理文件和一个 UAC 绕过可执行文件。

启动快捷方式文件会导致 DOCX 文件打开并执行 cab 文件中包含的一个批处理文件。

该诱饵 DOCX 文档表明，黑客想要入侵开发环境，这可能会让他们“获得敏感资产的访问权限，包括基础设施、API 凭证、钱包访问权限，并最终获得加密货币资产”。

第一个批处理文件为后门创建一个暂存目录，第二个批处理文件创建一个每小时执行一次的计划任务，伪装成 OneDrive 启动任务。

此任务从磁盘读取一个经过 XOR 加密的 PowerShell 脚本，并将其解密以便在内存中执行。最后，它会删除自身以清除感染痕迹。

PowerShell 后门本身经过了高度混淆，使用了基于算术的字符串编码、运行时字符串重构，并通过“Invoke-Expression”执行最终逻辑。

研究人员表示，PowerShell恶意软件“强烈表明它是人工智能辅助开发的，而不是传统的由操作员编写的恶意软件”。

得出此结论的证据包括脚本顶部清晰、结构化的文档（这在恶意软件开发中并不常见）；其模块化、简洁的布局；以及“# <– 您的永久项目 UUID”注释的存在。

旦后门在受感染的设备上完全运行，它就会定期联系命令与控制 (C2) 服务器以发送基本主机元数据，并按随机间隔轮询服务器。

如果 C2 响应包含 PowerShell 代码，它会将其转换为脚本块，并通过后台作业异步执行。

Check Point 根据早期的启动器格式、诱饵文件名和脚本名称的重叠以及与早期攻击的执行链结构的共性，将这些攻击归因于 Konni 威胁行为者。

在执行之前，恶意软件会执行硬件、软件和用户活动检查，以确保它不是在分析环境中运行，然后生成一个唯一的主机 ID。

接下来，根据它在受感染主机上拥有的执行权限，它会按照下图所示的不同路径执行操作。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Konni黑客利用人工智能构建的恶意软件攻击区块链工程师》