North Korean Hackers Pivot to AI-Assisted Espionage in New Campaign Targeting Blockchain Developers

北朝鮮の脅威グループであるKonniが、アジア太平洋地域のブロックチェーン開発者を標的にしたAI生成マルウェアを展開していることが確認され、サイバー能力の大きな進化を示しています。本稿は、2026年1月下旬にセキュリティ研究者によって特定された最新のキャンペーンについて報告するものです。この事案は、国家支援の諜報活動と人工知能（Artificial Intelligence、AI）が結びつき、高度なスクリプト生成の敷居を下げる一方で、従来の外交関係者中心の標的範囲を超えて対象を拡大している点で憂慮すべき事態です。

攻撃は特にエンジニアリングチームや開発者を日本、オーストラリア、インドで狙っており、暗号通貨やブロックチェーン分野の基盤インフラを侵害しようとする戦略的なシフトを示しています。

The Evolution of Konni: From Diplomatic Targets to Crypto Code

少なくとも2014年から活動を続けるKonni（別名 TA406 または Opal Sleet）は、歴史的に北朝鮮の地政学的利害に沿った情報収集を重視しており、しばしば駐韓外交関係者、NGO、政府関係者を標的にしてきました。しかし、今回のブロックチェーン分野への転換は、諜報活動と経済制裁回避のための潜在的な金銭的利益取得という二重の目的を示唆しています。

このキャンペーンの主要な侵入手段は高度な標的型フィッシング（スピアフィッシング）です。一般的なスパムとは異なり、これらの攻撃はDiscord経由で配信される高精度の餌（lures）を利用し、正規の求人案内や技術的プロジェクト要件を装います。政府関係者からソフトウェアエンジニアへ標的方法が変わったことは、同グループの適応性とデジタル経済の「ビルダー」を侵害する意図を示しています。

AI as a Weapon: Deconstructing the PowerShell Backdoor

このキャンペーンで最も憂慮される点は、マルウェア自体の技術的構成です。Check Point Research のセキュリティ分析者は、これらの攻撃で使用されたPowerShellバックドアが明確にAI生成の痕跡を有していると確認しました。

従来、人間のオペレーターが作成するマルウェアには、特有の癖、コーディングスタイル、あるいは誤りが含まれており、帰属調査の手がかりとなることがありました。しかし、今回回収されたペイロードは、綺麗に整理された構造、文法的に完璧なコメント、そして大規模言語モデル（Large Language Models、LLMs）に典型的な汎用的な説明用プレースホルダーを特徴としています。

Signs of Machine-Generated Malice

スクリプトには # <– your permanent project UUID のようなコメントが含まれており、これはテンプレートコードを生成するよう依頼された際にLLMが頻繁に出力するドキュメント形式です。この標準化は戦術的な目的を果たします。すなわち、人間の作者が通常残す独自の文体的指紋を削ぎ落とす「ソフトな難読化」となり、帰属調査を複雑化します。

マルウェアの機能は強力で、攻撃者に以下を可能にします：

• リモートシェル経由で任意のコマンドを実行すること。
• システム情報（OSバージョン、IPアドレス、ハードウェア仕様）を収集すること。
• 感染ホストへのファイルのアップロードおよびダウンロードを行うこと。
• OneDrive のような正規システムプロセスを模したスケジュールタスクを通じて永続性を維持すること。

The Infection Chain: A Multi-Stage Labyrinth

攻撃ライフサイクルは、複雑な多段階ロードプロセスを通じて検出を回避するよう設計されています。これは、ターゲットが Discord 経由で送られた悪意あるリンクをクリックすると始まり、デコイのPDFと武装化されたWindowsショートカット（LNK）ファイルを含むZIPアーカイブがダウンロードされる流れです。

Technical Breakdown of the Attack Flow

この「Living off the Land」（LotL）手法は、PowerShell、バッチスクリプト、スケジュールタスクなどのネイティブなWindowsツールを利用することで、攻撃者が通常の管理活動に溶け込み、従来のアンチウイルス製品による検出を困難にします。

Targeting the Builders: Why Blockchain Developers?

開発者を標的にすることは戦略的です。ある開発者のワークステーションを侵害することで、Konni は単一のマシンだけでなく、コードリポジトリ全体、APIキー、クラウドインフラの資格情報へアクセスする可能性を得ます。ブロックチェーンの文脈では、この上流へのアクセスは壊滅的です。攻撃者は分散型アプリ（dApps）に悪意あるコードを注入したり、秘密署名鍵を盗んだり、スマートコントラクトのデプロイ前に流動性を奪ったりすることができます。

この「サプライチェーン」アプローチは、単一の成功した侵害の影響を最大化します。使用される餌文書は、トレーディングボット、認証システム、納品ロードマップの説明などで、これらは技術的好奇心や開発者の職務上の責任に訴えるように作られています。

A New Era of Automated Cyber Warfare

Konni によるAIの利用は、脅威インテリジェンス（threat intelligence）の分水嶺となります。これは、国家主体が生成型AI（Generative AI）を悪用してマルウェア開発を加速させるという長年の懸念を裏付けるものです。Konniのようなグループにとって、AIツールは次の2つの主要な利点を提供します：

1. 迅速性：セキュリティパッチより先にマルウェアのバリアントを迅速に反復生成すること。
2. 隠密性：正規の管理スクリプトのように見える「クリーン」なコードを生成し、ヒューリスティック検出エンジンを誘発する可能性を低減すること。

この進展は防御戦略の再評価を強います。セキュリティチームはもはやシグネチャベースの検出や、特定の脅威アクターに典型的な「雑な」コードを探すだけでは不十分です。敵対者は現在、人工知能（AI）を助け手にして完璧で標準化されたコードを書く共同操縦者を持っています。

Mitigation Strategies for Development Teams

このAI強化脅威に対抗するため、特にWeb3やブロックチェーン分野の組織は多層防御（defense-in-depth）の姿勢を採る必要があります：

• Restrict Script Execution: 不正なスクリプトの実行を防ぐために、厳格な PowerShell 実行ポリシー（例：特定の署名要件）を施行すること。
• Isolate Development Environments: 開発者は企業ネットワークや本番鍵から分離されたサンドボックス環境や仮想マシンで作業すべきです。
• Discord Security: Discord やコミュニティチャネル経由で受信した全てのファイルを信頼できないものとして扱うこと。自動ダウンロードを無効にし、アーカイブは開く前に全てスキャンすること。
• Behavioral Monitoring: cmd.exe が一時ディレクトリから powershell.exe を起動するような異常なプロセスチェーンを検出できる EDR（Endpoint Detection and Response）ツールを導入すること。

Konni のキャンペーンは痛烈な警告です：AIツールが普及するにつれて、それらは武器化されます。防御コミュニティは、現在AIの助けを借りてコードを書くようになった敵対者よりも速く進化しなければなりません。