北朝鮮ハッカー集団Konni、AI生成PowerShellバックドアを導入
北朝鮮の脅威アクターとして知られるKonniハッカー集団が、人工知能(AI)ツールを使用して生成されたPowerShellマルウェアを展開し、ブロックチェーン分野の開発者およびエンジニアリングチームを標的にしていることがCheck Point Researchの調査で明らかになりました。今回のフィッシングキャンペーンは、これまで主に韓国を標的としてきたKonniの活動範囲が拡大し、日本、オーストラリア、インドも標的となっています。
Konniグループの活動と過去の攻撃
Konniは少なくとも2014年から活動しており、主に韓国の組織や個人を標的としてきました。このグループはEarth Imp、Opal Sleet、Osmium、TA406、Vedaliaなどの別名でも追跡されています。
- 2025年11月:Genians Security Center (GSC) の詳細によると、KonniはGoogleの資産追跡サービス「Find Hub」を悪用し、Androidデバイスを標的としていました。これにより、被害者デバイスのリモートリセットや個人データの消去が可能になっていました。
- 2026年1月:Konniは、GoogleやNaverの広告プラットフォームに関連する無害な広告URLを装った悪意のあるリンクを含むスピアフィッシングメールを配布し、リモートアクセス型トロイの木馬「EndRAT」を送り込んでいます。GSCはこのキャンペーンを「Operation Poseidon」と命名しました。この攻撃では、不正に保護されたWordPressウェブサイトがマルウェア配布およびC2(コマンド&コントロール)インフラとして利用されています。
AIを活用した最新の攻撃チェーン
Check Pointが文書化した最新のキャンペーンでは、Discordのコンテンツ配信ネットワーク(CDN)でホストされた、プロジェクト要件を模倣したZIPファイルが悪用されています。このファイルから始まる多段階攻撃チェーンは、以下のシーケンスで実行されます。
- ZIPアーカイブには、PDFの偽装ファイルとLNKファイルが含まれています。
- ショートカットファイルは、組み込みのPowerShellローダーを起動し、Microsoft Wordの誘い込み文書とCABアーカイブの2つの追加ファイルを抽出します。ユーザーの注意をそらすためにWord文書が表示されます。
- ショートカットファイルはCABアーカイブの内容を抽出します。これには、PowerShellバックドア、2つのバッチスクリプト、およびユーザーアカウント制御(UAC)バイパス用の実行可能ファイルが含まれています。
- 最初のバッチスクリプトは環境を準備し、スケジュールされたタスクを使用して持続性を確立し、バックドアを準備して実行します。その後、フォレンジックの可視性を低下させるためにディスクから自己削除します。
- PowerShellバックドアは、一連の分析対策およびサンドボックス回避チェックを実行し、システムプロファイリングを行った後、FodHelper UACバイパス技術を使用して権限昇格を試みます。
- バックドアは、以前ドロップされたUACバイパス実行可能ファイルをクリーンアップし、”C:\ProgramData”に対するMicrosoft Defenderの除外を設定します。その後、2番目のバッチスクリプトを実行して、以前作成したスケジュールされたタスクを、より高い権限で実行できる新しいものに置き換えます。
- バックドアは、持続的なリモートアクセスを提供するために、正規のリモート監視および管理(RMM)ツールであるSimpleHelpをドロップします。そして、非ブラウザトラフィックをブロックするための暗号化ゲートによって保護されたC2サーバーと通信し、定期的にホストメタデータを送信し、サーバーから返されたPowerShellコードを実行します。
サイバーセキュリティ企業は、このPowerShellバックドアがAIツールの支援を受けて作成された可能性を示唆しています。その根拠として、モジュール構造、人間が読めるドキュメント、そして「# <– your permanent project UUID.」のようなソースコードコメントが挙げられています。
攻撃の目的と広がる脅威
Check Pointは、「個々のエンドユーザーに焦点を当てるのではなく、キャンペーンの目的は開発環境に足がかりを確立することにあるようだ。これにより、複数のプロジェクトやサービスにわたる広範なダウンストリームアクセスが可能になる」と述べています。AI支援ツールの導入は、開発の加速とコードの標準化への取り組みを示唆しており、同時に実証済みの配信方法とソーシャルエンジニアリングに依存し続けています。
この発見は、リモート制御とデータ窃盗を促進する他の北朝鮮主導のキャンペーンとも一致しています。
- JavaScriptエンコード(JSE)スクリプト(ハングルワードプロセッサー(HWPX)文書や政府をテーマにした誘い込みファイルを模倣)を使用し、VS Codeトンネルを展開してリモートアクセスを確立するスピアフィッシングキャンペーン。
- PDF文書を装ったLNKファイルがPowerShellスクリプトを起動し、仮想環境やマルウェア分析環境を検知した後、リモートアクセス型トロイの木馬「MoonPeak」を配信するフィッシングキャンペーン。
- 2025年にAndarielによって実施されたと評価される2件のサイバー攻撃。これらは、欧州の法務分野のエンティティを標的として「TigerRAT」を配信し、また韓国のERPソフトウェアベンダーの更新メカニズムを侵害して、StarshellRAT、JelusRAT、GopherRATを含む3つの新しいトロイの木馬をダウンストリームの被害者に配布しました。
フィンランドのサイバーセキュリティ企業WithSecureのモハマド・カゼム・ハッサン・ネジャッド研究員は、「Konniの標的と目的は時間の経過とともに変化しており、一部のキャンペーンは金銭的利益を追求し、また一部は政権の優先的な情報ニーズに沿った情報窃盗に焦点を当てている」とコメントしています。「この多様性は、グループの柔軟性と、それらの優先順位が変化するにつれてより広範な戦略目標をサポートする能力を強調しています。」
元記事: https://thehackernews.com/2026/01/konni-hackers-deploy-ai-generated.html