文章总结： CheckPoint披露朝鲜KONNI组织利用虚假区块链文档攻击开发人员，其显著特点是使用AI生成的PowerShell后门。攻击链通过Discord传播的LNK文件建立持久化并绕过防御。报告指出该后门具有LLM生成的典型特征，标志着APT组织开始利用AI提升攻击能力，且其TTP与KONNI过往行动高度一致。 综合评分： 78 文章分类： 威胁情报,恶意软件,安全大事件

朝鲜APT组织KONNI利用人工智能技术构建隐蔽的恶意软件工具

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年2月2日 12:00 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

    Check Point 将一场活跃的网络钓鱼活动与朝鲜支持的 KONNI 联系起来，该活动以虚假的区块链项目文档为目标，并使用人工智能编写的 PowerShell 后门来攻击开发人员。

Check Point Research 发现了一起活跃的网络钓鱼活动，该活动被认为是与朝鲜有关联的KONNI组织（又名 Kimsuky、Earth Imp、  TA406、  Thallium、Vedalia 和 Velvet Chollima）所为。该行动的目标是软件开发人员和工程师，他们使用与区块链和加密货币项目相关的虚假项目文档。虽然该活动与 KONNI 已知的鱼叉式网络钓鱼策略一致，但它也显示出更广泛的亚太地区目标，并且包含一个由人工智能编写的 PowerShell 后门，这凸显了威胁行为者不断演变的攻击手段。

该攻击活动已将攻击范围扩大到韩国以外，样本与日本、澳大利亚和印度均有关联。攻击目标是工程团队，尤其是从事区块链技术开发的团队，攻击者使用伪装成合法项目资料的诱饵文档。这些诱饵旨在入侵开发环境，并获取基础设施、凭证、钱包和加密货币等敏感资产。感染链利用托管在 Discord 上的 ZIP 文件，其中包含一个 PDF 文件和一个 LNK 文件，该文件会启动一个混淆的 PowerShell 加载器。

CheckPoint发布的报告指出：“感染链始于Discord上托管的一个链接，该链接通过未知途径下载一个ZIP压缩包。该ZIP压缩包包含两个文件：一个PDF诱饵文档和一个Windows快捷方式（LNK）文件。LNK文件会启动一个嵌入式PowerShell加载器，该加载器会提取另外两个文件：一个DOCX诱饵文档和一个CAB压缩文件，这两个文件都嵌入在LNK文件中，并使用单字节密钥进行异或编码。”

该恶意软件通过伪装成 OneDrive 的计划任务建立持久性，并部署在内存中执行的经过高度混淆的 PowerShell 后门。

这个 PowerShell 后门明显带有 AI 辅助开发的痕迹，而非传统的 APT 工具编写。该脚本的文档异常清晰，结构模块化，并包含诸如“你的永久项目 UUID”之类的说明性注释，这是 LLM 生成代码的典型特征。

报告指出：“这种措辞是LLM生成代码的典型特征，模型会明确指导用户如何自定义占位符值。此类注释在人工智能生成的脚本和教程中很常见。”报告还指出：“详尽的文档、模块化的布局以及指导性的占位符注释都强烈表明，PowerShell后门是由人工智能系统生成的，这标志着KONNI APT工具开发方向的显著转变。”

除了类似人工智能的编码风格外，该后门还包含强大的反分析检查、沙箱规避、用户交互验证以及通过全局互斥锁强制执行单实例攻击等功能。恶意代码会识别主机以进行C2跟踪，并根据权限级别调整执行策略，绕过UAC和Defender防护，还能部署合法的远程监控管理（RMM）软件以实现持久化。该后门通过模拟JavaScript挑战来绕过浏览器端的保护机制，从而实现对C2服务器的访问，并允许持续执行命令和窃取数据。

2025 年 10 月上传到 VirusTotal 的早期样本显示了该感染链的旧版本。该版本首先使用一个混淆的 PowerShell 脚本，该脚本会下载多个组件，包括批处理文件、VBScript 启动器、PowerShell 后门以及 PE 文件，例如用于绕过 UAC 的 uc.exe 和 OneDriveUpdater.exe。OneDriveUpdater 工具会安装一个 SimpleHelp 客户端，使攻击者能够远程访问该客户端。

程序首先运行 start.vbs，它会启动 simi.bat。simi.bat 脚本会在C:\ProgramData 目录下创建一个暂存文件夹，将下载的文件移动到该文件夹，然后运行 OneDriveUpdater.exe，最后启动 schedule1.bat。最后一个脚本通过创建一个计划任务来设置持久化，该计划任务会运行 PowerShell 后门。与后续示例不同，此版本将任务拆分到多个脚本中执行，而不是使用单个批处理文件。

Check Point指出，此次攻击活动的战术、技术和程序（TTP）与朝鲜关联的KONNI APT组织高度吻合。攻击始于一个武器化的LNK文件，该文件与此前报告中出现的KONNI发射程序如出一辙，包括重复使用已知的诱饵文件名。执行链遵循KONNI典型的模块化、多阶段设计，使用VBS脚本和多个BAT脚本，每个脚本都扮演着特定的角色。早期变种也重复使用了与KONNI过往活动相关的脚本名称和代码模式，进一步证实了此次攻击与该组织有关。

报告总结道：“此次攻击活动凸显了KONNI APT组织的演变。其攻击投放和部署方式与之前记录的KONNI惯用伎俩一致，包括使用武器化的LNK快捷方式以及由作用范围狭窄的脚本组件构建的模块化多阶段执行链。与此同时，攻击目标的选择也反映出该组织行为的显著转变。” “最后，值得注意的是，此次攻击活动似乎使用了人工智能编写的PowerShell后门。”

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《朝鲜APT组织KONNI利用人工智能技术构建隐蔽的恶意软件工具》