文章总结： 朝鲜APT组织KONNI针对亚太区块链开发者发起攻击，首次利用AI生成PowerShell后门。攻击通过Discord链接投递LNK文件，利用计划任务与UAC绕过技术实现持久化与提权。该后门具有反分析能力，代码特征显示由大语言模型生成。此事件表明APT组织开始借助AI降低恶意软件开发门槛并转向窃取加密资产，建议开发者加强对未知来源文件的甄别及系统安全防御。 综合评分： 86 文章分类： 威胁情报,恶意软件,AI安全,区块链安全

APT组织KONNI利用AI生成PowerShell后门展开攻击活动

原创

BaizeSec BaizeSec

白泽安全实验室

2026年1月30日 09:01 北京

近日，网络安全研究机构发现了朝鲜背景的APT组织KONNI在2025年底至2026年初开展的一项针对软件开发者的网络攻击活动。该组织此次利用人工智能技术生成PowerShell后门程序，瞄准亚太地区的区块链和加密货币项目开发者，意图窃取敏感基础设施、API凭证以及加密资产。这一转变标志着KONNI组织从传统地缘政治主题钓鱼转向更具针对性的技术领域攻击，扩展了其受害者范围。

KONNI组织自2014年以来一直活跃，主要针对韩国境内的外交部门、国际关系机构、非政府组织、学术界和政府部门等，通过鱼叉式网络钓鱼攻击投放武器化文档。这些文档通常以地缘政治议题为诱饵，诱导受害者开启恶意文件。然而，在本次攻击活动中，KONNI组织将目标转向了日本、澳大利亚和印度等亚太地区的软件开发者和工程团队。攻击者精心设计了伪装成合法项目文档的钓鱼诱饵，这些文档涵盖了区块链技术的架构、技术栈、时间表、预算和里程碑等细节，旨在吸引开发者点击并感染系统。

从攻击的感染链来看，整个过程设计精密且具有很强的隐蔽性。攻击始于一个托管在Discord平台的链接，该链接会通过未知载体下载一个ZIP压缩包，压缩包内包含PDF诱饵文档和Windows快捷方式（LNK文件）。当受害者点击LNK文件后，会触发嵌入式的PowerShell加载器，该加载器会通过单字节密钥异或（XOR）解密技术，从自身提取出另一个DOCX诱饵文档和CAB压缩包，并将这两个文件写入磁盘。随后，系统会自动打开DOCX诱饵文档以分散受害者注意力，同时解压CAB压缩包——其中包含PowerShell后门、两个批处理文件以及一个用于绕过用户账户控制（UAC）的可执行文件，紧接着第一个批处理文件会被执行。

图 1 KONNI组织攻击感染链

第一个批处理文件的核心作用是搭建恶意组件的“藏身之处”与持久化机制。它会在C:\ProgramData目录下创建名为“VljE”的新文件夹，将PowerShell后门文件（zVJs.ps1）和另一个批处理文件（mKIftBn.bat）移入其中。为实现长期潜伏，该脚本会创建一个伪装成“OneDrive启动任务”的计划任务，设置为每小时以当前用户权限运行。这个计划任务执行的PowerShell命令会读取加密的后门文件，用单字节密钥“Q”进行解密后，通过“Invoke-Expression”（iex）命令在内存中直接执行恶意代码。随后，脚本会尝试启动并不存在的“OneDriveUpdater.exe”（这是早期版本攻击残留的痕迹），最后自行删除以消除攻击痕迹，降低被分析发现的概率。

此次攻击中最引人关注的，是KONNI组织采用的AI生成PowerShell后门。该后门有着异于传统恶意软件的“精致结构”：开头包含清晰的人类可读文档，详细说明脚本功能——“确保基于UUID的项目每次仅运行一个实例，每13分钟通过HTTP GET请求发送系统信息”，这种详尽的前置文档在普通恶意软件或高级持续性威胁（APT）组织编写的PowerShell植入程序中极为罕见。同时，脚本按照现代软件工程规范，被划分为多个功能明确的逻辑模块，分别负责不同任务。更关键的证据是代码中嵌入的注释“# <– your permanent project UUID”，这种提示用户自定义占位符的表述是大语言模型（LLM）生成代码的典型特征，常见于AI生成的脚本与教程中。这些特征共同证实，该PowerShell后门极可能由AI系统生成，标志着KONNI组织在恶意工具开发模式上的重要转变。

从技术分析角度看，这个PowerShell后门具备完善的反分析与持久化能力。执行初期，它会进行一系列反分析与沙箱规避检查：验证主机硬件是否满足最低配置要求，扫描系统中是否存在IDA（反汇编工具）、Wireshark（抓包工具）、Procmon（进程监控工具）等分析软件；同时，它还会监控鼠标活动，要求达到一定点击次数才继续执行，若未满足这些条件则立即终止运行。通过检查后，后门会创建名为“Global\SysInfoProject_”的全局互斥体，确保同一时间仅运行一个实例（所有分析样本中使用的项目UUID均为 “f7d77a6d-36e0-4fcb-bae7-5f4b3b723f61”）。随后，它会生成用于命令与控制（C2）跟踪的主机唯一标识：通过WMI查询主板序列号与系统UUID，将两者拼接后用SHA-256哈希算法处理，截取前16个字符作为基础标识，再附加硬编码的专属字符串，以便攻击者区分不同攻击活动中的受害者。

在权限处理上，后门会根据当前运行权限采取不同策略：若为普通用户权限，会利用“fodhelper UAC绕过” 技术提升权限——通过修改HKCU\Software\Classes下的注册表项，将“ms-settings”协议的解析路径重定向到攻击者控制的程序（在HKCU\Software\Classes.thm\Shell\Open\command下创建自定义处理程序），当系统启动自动提权的“fodhelper.exe”时，会触发该恶意程序执行，且不会弹出UAC提示。此次攻击中，用于提权的程序是32位的“rKXujm.exe”，其唯一功能是将注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin的值修改为 0，彻底禁用管理员账户的UAC提示，完成提权后便进入管理员权限处理流程；若当前已是管理员权限，后门会清理此前用于UAC绕过的程序，为C:\ProgramData目录添加Windows Defender排除项，再执行第二个批处理文件，用新的高权限计划任务替换原有任务，确保在高权限环境下持久运行；若获得系统（SYSTEM）权限，后门会部署合法的远程监控与管理（RMM）工具“SimpleHelp”，为攻击者提供长期交互式访问能力，远超普通PowerShell后门的控制范围。

在C2通信环节，后门同样设计了严格的身份验证机制。为获取C2服务器要求的“__test”会话Cookie，它会模拟执行JavaScript挑战——下载C2服务器使用的AES加密实现代码，重构嵌入式JavaScript逻辑，解密服务器提供的密文并提取有效令牌，以此绕过服务器基于客户端AES的反爬虫与非浏览器流量过滤机制。完成身份验证后，后门会定期向基于PHP的C2端点发送主机元数据，包括生成的主机标识、权限级别、本地 IPv4地址与用户名；若服务器返回PowerShell代码，后门会将其转换为脚本块，通过后台作业异步执行。整个命令轮询过程采用随机间隔，且运行期间持续进行黑名单检查，一旦发现分析工具便立即终止执行。

研究人员还发现了该攻击链的早期版本（2025年10月上传至VirusTotal的样本）。早期版本的初始载荷是经过混淆的PowerShell脚本（同样采用基于算术运算的字符编码混淆），会从攻击者控制的服务器下载多个辅助组件，包括批处理文件、VBScript启动器、PowerShell后门以及两个可执行文件（用于UAC绕过的“uc.exe”和“OneDriveUpdater.exe”）。其中“OneDriveUpdater.exe”是64位程序，核心功能是下载并执行“Simple Help”客户端，为攻击者提供交互式远程访问，这一组件在后期攻击样本中虽被提及，但未实际出现。早期版本的执行流程与后期类似但更分散：由“start.vbs”静默启动“simi.bat”，“simi.bat”负责在C:\ProgramData目录下创建子文件夹、整理恶意组件并执行“OneDriveUpdater.exe”，再由“schedule1.bat”创建计划任务实现持久化，将功能分散到多个脚本中，而后期版本则倾向于将功能整合到单个批处理文件，提高攻击效率与隐蔽性。

图 2 基于特权的执行流程

从攻击归因来看，多项证据表明此次活动确为KONNI组织所为。首先，攻击中使用的武器化LNK快捷方式，其结构与执行逻辑和此前报告中KONNI组织使用的LNK启动器高度吻合，甚至诱饵文件名（如“Avinash_CV.lnk”）与历史攻击artifact完全一致；其次，整个攻击链的模块化、多阶段设计（基于VBScript和多个批处理文件，每个组件仅负责单一任务，如staging、持久化、执行与组件交接），与已记录的KONNI组织操作模式完全匹配；最后，早期攻击版本中复用的脚本名称与代码模式（如“start.vbs”启动“simi.bat”），在KONNI组织历史攻击活动中多次出现，进一步印证了攻击归因的准确性。

参考链接：

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/?_gl=1*f083p8*_gcl_au*NTM4MTU1ODUzLjE3NjgyNjQ1NTg.

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《APT组织KONNI利用AI生成PowerShell后门展开攻击活动》