Hackers norte-coreanos do grupo Konni estão utilizando backdoor em PowerShell gerado por inteligência artificial (IA) para realizar ataques cibernéticos direcionados. De acordo com a Check Point Research, o objetivo principal desses ataques é roubar informações sensíveis de equipes de engenharia de blockchain. Essa estratégia representa uma evolução preocupante nas táticas de cibercrime, combinando engenharia social com tecnologias avançadas.
O Grupo Konni e Sua Trajetória Criminosa
O grupo Konni atua desde 2014 e, recentemente, intensificou suas operações com uma campanha de spear-phishing iniciada em janeiro. A Check Point identificou que a maioria dos ataques ocorreu no Japão, Austrália e Índia. Os hackers distribuem e-mails direcionados a engenheiros, contendo links maliciosos disfarçados como anúncios legítimos do Google e Naver. Essa técnica permite que eles burlam filtros de segurança e distribuam o trojan de acesso remoto EndRAT.
Como o Backdoor em PowerShell é Distribuído
Os e-mails maliciosos se passam por alertas financeiros, como falsas confirmações de transferências. Ao clicar no link, a vítima baixa um arquivo ZIP que contém um atalho do Windows (LNK). Esse atalho executa um script AutoIt, disfarçado de documento PDF. O script, na verdade, é o EndRAT, que inicia um loader do PowerShell. Enquanto a vítima visualiza um documento do Word, o backdoor em PowerShell é instalado silenciosamente.
Uma vez ativo, o malware executa ações para elevar privilégios no sistema e instala o SimpleHelp, uma ferramenta legítima de monitoramento remoto. Essa ferramenta estabelece persistência e se comunica com um servidor C2 criptografado, enviando metadados do usuário para os hackers.
O Papel da IA nos Ataques
A Check Point descobriu que o backdoor em PowerShell foi criado com auxílio de ferramentas generativas de IA. Essa abordagem acelera o desenvolvimento do malware e padroniza seu código, tornando os ataques mais eficientes. Além disso, a automação permite que os hackers escalem suas operações, aumentando o risco para empresas e profissionais de tecnologia.
Essa tendência reforça a necessidade de medidas de segurança avançadas, como:
- Treinamento em engenharia social para equipes técnicas;
- Monitoramento contínuo de tráfego de rede;
- Atualização constante de sistemas e ferramentas de proteção.
Conclusão
O uso de backdoor em PowerShell gerado por IA demonstra a sofisticação crescente dos cibercriminosos. Empresas e profissionais devem adotar estratégias proativas para mitigar riscos, incluindo a educação sobre ameaças emergentes e a implementação de soluções de segurança robustas.