Hasta los hackers norcoreanos ya no escriben código: ahora una IA lo hace por ellos.
Parece que llega a su fin la era del ciberespionaje manual.
El grupo de hackers KONNI, vinculado a Corea del Norte, ha ampliado la geografía de su actividad e implementado tecnologías generativas para crear código malicioso. La investigación de Check Point Research mostró que el ataque está dirigido a desarrolladores y equipos de ingeniería relacionados con proyectos de blockchain. Entre las regiones afectadas están Japón, Australia e India, lo que indica una expansión más allá de la zona de interés tradicional del grupo.
Los atacantes utilizan documentos que se hacen pasar por documentación de proyecto con descripciones de la arquitectura, pilas tecnológicas, plazos de implementación y presupuestos. El objetivo principal es obtener acceso a información e infraestructura críticas: claves API, billeteras y otros activos relacionados con criptomonedas.
El inicio de la infección está relacionado con la descarga de un archivo ZIP desde un enlace en Discord. Dentro del archivo hay un documento PDF y un acceso directo LNK, cuya ejecución introduce en el sistema un cargador de PowerShell. Este extrae un documento DOCX y un archivo CAB que contienen los componentes maliciosos principales, incluidos un script de PowerShell, dos archivos BAT y un ejecutable para eludir el control de cuentas de usuario.
Uno de los scripts BAT crea una carpeta oculta en el directorio del sistema, donde mueve la carga útil. Luego se crea una tarea de programador falsa, enmascarada como una tarea de OneDrive, que cada 60 minutos ejecuta un script de PowerShell cifrado. Este se descifra en memoria y se ejecuta de inmediato, y las huellas de su ejecución se borran.
Una característica del código malicioso es su fuerte ofuscación, que emplea expresiones aritméticas para construir cadenas, lo que dificulta el análisis. Sin embargo, la estructura del script, su documentación y la presencia de comentarios característicos, como la sugerencia de reemplazar un UUID, indican el uso de IA generativa. Esto se confirma por la existencia de segmentos de código típicos de sistemas generados por aprendizaje automático.
Tras su ejecución, el script verifica el entorno: presencia de movimientos del ratón, programas de análisis instalados y parámetros hardware mínimos. A continuación recopila identificadores únicos de la máquina, los somete a hash y los usa para comunicarse con el servidor de comando y control. Según el nivel de privilegios se realizan distintas acciones, incluida la escalada de privilegios mediante la evasión del UAC, la adición de exclusiones en Windows Defender y la creación de una nueva tarea programada con privilegios elevados.
En caso de ejecutarse con privilegios del sistema, el software malicioso instala una herramienta legítima de administración remota, SimpleHelp, lo que proporciona a los atacantes acceso interactivo prolongado al sistema de la víctima. La comunicación con el servidor de comando y control se realiza utilizando una evasión de la verificación de bots: el script de PowerShell simula la ejecución de código JavaScript, obteniendo el token de acceso necesario para la autenticación en el servidor.
La investigación también identificó una variante anterior de la cadena de infección, utilizada en octubre de 2025. En esa versión se emplearon scripts VBS y BAT separados para la ejecución, la preparación del entorno y la persistencia en el sistema. Aunque la funcionalidad era similar, la arquitectura de las herramientas maliciosas parecía menos unificada en comparación con el enfoque actual.
La similitud en los nombres de los scripts, la lógica de infección y el uso de una arquitectura modular confirma la pertenencia de la campaña al grupo KONNI. La aplicación simultánea de IA y el intento de acceder a desarrolladores de proyectos de blockchain señalan una evolución de los enfoques, que combina tácticas anteriores con nuevas capacidades técnicas.