共计 1385 个字符,预计需要花费 4 分钟才能阅读完成。
近期,一个被称为 Konni 的朝鲜黑客组织,其攻击手段再度升级。研究人员发现,该组织开始利用人工智能(AI)工具生成更为复杂的恶意软件,并将目标精准锁定在区块链领域的开发者和工程团队身上。
Check Point Research 发布的最新报告揭露了此次钓鱼攻击活动。值得注意的是,攻击范围已从韩国、俄罗斯、乌克兰及欧洲国家,进一步扩大至日本、澳大利亚和印度等地。
- 
- 
- 
- 
- 
- 
- 
- 
- 
Konni 组织至少自 2014 年以来便一直活跃,主要以针对韩国的组织和个人而闻名。该组织也被其他安全机构追踪为 Earth Imp、Opal Sleet、Osmium、TA406 和 Vedalia。
回顾其历史,2025 年 11 月,该组织曾利用谷歌的资产追踪服务 Find Hub,远程重置并擦除 Android 设备的个人数据,标志着其攻击能力的一次显著跃升。
就在本月,Konni 被发现通过鱼叉式网络钓鱼邮件分发恶意链接。这些链接巧妙伪装成与谷歌和 Naver 广告平台相关的无害广告 URL,以绕过安全过滤器的检测,最终目的是投放一个代号为 EndRAT 的远程访问木马。
韩国安全机构 GSC 将此次行动代号命名为“Operation Poseidon”。攻击者在此次行动中,不仅冒充了朝鲜的人权组织和韩国的金融机构,还利用了安全防护不当的 WordPress 网站来分发恶意软件,并将其作为命令与控制(C2)基础设施的一部分。
这些钓鱼邮件通常伪装成财务通知,例如交易确认或电汇请求,诱骗收件人下载托管在 WordPress 网站上的 ZIP 压缩包。该压缩包内含一个 Windows 快捷方式文件,旨在执行一个伪装成 PDF 文档的 AutoIt 脚本。该脚本正是 Konni 组织惯用的 EndRAT 恶意软件。
韩国安全机构分析指出:“攻击者利用了合法广告点击追踪域名的重定向 URL 结构,逐步将用户引导至托管实际恶意文件的外部基础设施。这种手法有效地绕过了电子邮件安全过滤和用户的警惕性。”
Check Point 记录的最新攻击活动则更加隐蔽。攻击者利用托管在 Discord 内容分发网络上的、模仿项目需求文档的 ZIP 文件,启动了一个多阶段的复杂攻击链:,
- ZIP 压缩包包含一个 PDF 诱饵文件和一个 LNK 文件。
- 快捷方式文件会启动一个嵌入的 PowerShell 加载器,该加载器提取两个附加文件:一个 Microsoft Word 诱饵文档和一个 CAB 压缩包,并显示 Word 文档作为干扰。
- 随后,CAB 压缩包被解压,其中包含一个 PowerShell 后门、两个批处理脚本和一个用于绕过用户账户控制(UAC)的可执行文件。
- 第一个批处理脚本用于准备环境,使用计划任务建立持久性,暂存后门并执行它,然后自删除以抹除痕迹。
- PowerShell 后门会执行一系列反分析和沙箱规避检查,然后尝试使用 FodHelper UAC 绕过技术提升权限。
- 后门会清理先前投放的 UAC 绕过可执行文件,为“C:ProgramData”目录配置 Microsoft Defender 排除项,并运行第二个批处理脚本,用一个新的、能够以提升权限运行的计划任务替换先前创建的任务。
- 最终,后门会投放 SimpleHelp(一款合法的远程监控和管理工具),以建立持久的远程访问,并与一个受加密网关保护的 C2 服务器通信。
这家网络安全公司表示,有迹象表明该 PowerShell 后门是在 AI 工具 的协助下创建的,依据是其模块化结构、人类可读的文档以及类似“# <– your permanent project UUID”的源代码注释。
Check Point 分析认为:“此次活动的目标似乎不是针对单个最终用户,而是在开发环境中建立立足点。因为攻陷开发环境可以提供跨多个项目和服务的更广泛下游访问权限。”“引入 AI 辅助工具表明,他们在继续依赖成熟的投递方法和社会工程的同时,正努力加速开发并标准化代码。”
这些发现与近期曝光的多个朝鲜主导的、旨在实现远程控制和数据窃取的活动同时出现,包括:,
- 使用模仿 Hangul Word Processor 文档和政府主题诱饵文件的 JavaScript 编码脚本,部署 Visual Studio Code 隧道以建立远程访问。
- 分发伪装成 PDF 文档的 LNK 文件,以启动一个能检测虚拟和恶意软件分析环境的 PowerShell 脚本,并投放名为 MoonPeak 的远程访问木马。
- 两起被评估认为由 Andariel 组织在 2025 年实施的网络攻击,分别针对一家欧洲法律行业实体和一家韩国企业资源规划(ERP)软件供应商的更新机制,向下游受害者分发 TigerRAT、StarshellRAT、JelusRAT 和 GopherRAT 等多种木马。
根据芬兰网络安全公司 WithSecure 的信息,这家韩国 ERP 供应商的软件在过去曾两次成为类似供应链攻击的目标,分别在 2017 年和 2024 年被用于部署 HotCroissant 和 Xctdoor 等恶意软件。
WithSecure 研究员 Mohammad Kazem Hassan Nejad 表示:“他们的目标和目的随着时间的推移而变化;一些活动追求经济利益,而另一些则专注于窃取与政权优先情报需求一致的信息。”“这种多变性凸显了该组织的灵活性及其支持更广泛战略目标的能力。”
