北韓駭客在針對區塊鏈(blockchain)開發者的新活動中轉向以人工智慧(AI)輔助的間諜活動
在網路能力的重要演變中,已知為 Konni 的北韓威脅組織被觀察到部署由人工智慧生成的惡意軟體(malware),以攻擊亞太地區的區塊鏈(blockchain)開發者。此最新活動由安全研究人員在 2026 年 1 月下旬發現,標誌著國家支持的間諜活動與人工智慧之間令人不安的融合,降低了產生複雜腳本的門檻,同時將該組織的目標範圍擴展到其傳統的外交焦點之外。
攻擊特別針對位於日本、澳洲與印度的工程團隊與開發者,顯示出其策略性轉變,旨在危害加密貨幣(cryptocurrency)與區塊鏈(blockchain)領域的基礎設施。
Konni 的演變:從外交目標到加密程式
自至少 2014 年起活動的 Konni(亦被追蹤為 TA406 或 Opal Sleet)歷來專注於與北韓地緣政治利益相符的情報蒐集,常以南韓的外交人員、非政府組織與政府官員為目標。然而,最近轉向區塊鏈(blockchain)領域表明其具有雙重目的:結合間諜活動與潛在的財務利益,以規避經濟制裁。
此活動的主要向量涉及高度複雜的魚叉式網路釣魚(spear-phishing)行動。不同於一般垃圾郵件,這些攻擊使用高仿真誘餌透過 Discord 傳遞,偽裝成合法的工作邀請或技術專案需求。從以政府官員為目標轉向軟體工程師,展示了該組織的適應力與企圖心,意在侵入數位經濟的「建構者」。
以人工智慧為武器:拆解 PowerShell 後門
此活動最令人震驚的面向是惡意軟體本身的技術構成。Check Point Research 的資安分析人員已確認,在這些攻擊中部署的 PowerShell 後門帶有明顯的人工智慧生成痕跡。
傳統上,人類作者撰寫的惡意程式會帶有明顯的個人特徵、程式風格或錯誤,這些特徵有助於追蹤。但從這些攻擊回收的 payload 結構完美、註解語法正確,並包含大型語言模型(Large Language Models,LLMs)常見的通用教學式佔位註解。
機器生成惡意程式的跡象
腳本包含像 # <– your permanent project UUID 這類註解,這是一種 LLM 在被要求生成範本程式碼時常輸出的教學式文件風格。此標準化具有戰術目的:它作為一種「軟隱蔽化」,去除了人類作者通常留下的獨特風格指紋,從而使追溯來源更加困難。
惡意程式具備的功能強大,允許攻擊者能夠:
- 透過遠端 shell 執行任意命令。
- 蒐集系統資訊(作業系統版本、IP 位址、硬體規格)。
- 上傳與下載受感染主機上的檔案。
- 透過模仿像 OneDrive 的合法系統程序,利用排程工作以維持持久性,確保重啟後仍能存活。
感染鏈:多階段的迷宮
攻擊生命週期被設計成透過複雜的多階段載入流程來規避偵測。當目標與透過 Discord 傳送的惡意連結互動時,即會開始;該連結會下載一個 ZIP 壓縮檔,內含一個誘餌 PDF 與一個武器化的 Windows 捷徑(LNK)檔案。
攻擊流程技術細目
| Attack Stage | Mechanism | Technical Indicator |
|---|---|---|
| Initial Access | Phishing via Discord | Malicious ZIP archive containing fake project briefs (PDF) and LNK files. |
| Execution | LNK File Invocation | The shortcut triggers a hidden PowerShell loader embedded in the command arguments. |
| Payload Extraction | CAB File Expansion | A hidden cabinet file is extracted, releasing a batch script and the primary PowerShell backdoor. |
| Persistence | Scheduled Tasks | Creates an hourly task masquerading as a "OneDrive Startup" process to ensure reboot survival. |
| C2 Communication | HTTP/HTTPS Requests | The backdoor utilizes XOR encryption to obfuscate traffic sent to the Command and Control server. |
此「借用系統內建工具(Living off the Land,LotL)」技術——使用像 PowerShell、batch 腳本與排程工作這類原生 Windows 工具——讓攻擊者能夠混跡於正常的管理活動之中,使傳統防毒解決方案難以偵測。
針對建構者:為何是區塊鏈開發者?
對開發者的聚焦具策略性。透過危害開發者的工作站,Konni 不僅能存取單一機器,而可能進一步取得整個程式碼庫、API 金鑰與雲端基礎設施憑證。在區塊鏈(blockchain)情境中,這種上游存取後果嚴重。攻擊者可能注入惡意程式碼到去中心化應用(decentralized applications,dApps),竊取私鑰或在智能合約(smart contracts)部署前抽乾流動性。
這種「供應鏈(supply chain)」手法最大化單一成功入侵的影響。使用的誘餌——描述交易機器人、憑證系統與發佈路線圖的文件——皆被打造來特別吸引這些工程師的技術好奇心與職責。
自動化網路戰的新時代
Konni 使用人工智慧代表了威脅情報(threat intelligence)的一個分水嶺時刻。它驗證了長久以來的擔憂:國家行為者會利用生成式人工智慧來加速惡意軟體開發。對 Konni 類型的組織而言,人工智慧工具提供兩大優勢:
- 速度:能快速生成惡意程式變體,以領先安全修補。
- 隱蔽:產生看似合法管理腳本的「乾淨」程式碼,降低觸發啟發式偵測引擎的機率。
此一發展迫使防禦策略重新校準。資安團隊不能再僅依賴簽名式偵測或尋找某些威脅行為者常見的「草率」程式碼。對手現在有一個共同作業的寫作助手,能夠撰寫完美且標準化的程式碼。
給開發團隊的減緩策略
為了防禦這個具人工智慧加強的威脅環境,組織——特別是 Web3 與區塊鏈(blockchain)領域的——必須採取縱深防禦的姿態:
- 限制腳本執行: 強制執行嚴格的 PowerShell 執行政策(例如特定簽署需求),以防止未經授權的腳本執行。
- 隔離開發環境: 開發者應在與企業網路和生產金鑰隔離的沙盒或虛擬機中工作。
- Discord 安全性: 將所有透過 Discord 或社群頻道收到的檔案視為不受信任。停用自動下載並在開啟前掃描所有壓縮檔。
- 行為監控: 部署能夠標記異常程序鏈的端點偵測與回應(Endpoint Detection and Response,EDR)工具,例如偵測從暫存目錄啟動
powershell.exe的cmd.exe。
Konni 的活動是個嚴厲的提醒:隨著人工智慧工具普及,它們會被武器化。防禦社群必須比現在以人工智慧為助力的對手進化得更快。
