Un groupe lié à la Corée du Nord a soulevé le pari: les chercheurs ont détecté des campagnes de phishing de vitesse visant les développeurs et les équipes d'ingénierie de l'écosystème blockchain, dans lequel les attaquants utilisent des logiciels malveillants dans PowerShell qui semble avoir été générés avec l'aide d'outils d'intelligence artificielle. Ces opérations ne se limitent plus à l'environnement sud-coréen; des cibles ont été observées au Japon, en Australie et en Inde, selon l'analyse technique publiée par Recherche au point de contrôle, qui suggère une évolution dans la stratégie et la portée de l'acteur connu sous le nom de Kanni.
Konni - également retracé dans l'industrie sous des noms tels que Earth Imp, TA406 ou Vedalia - est actif depuis au moins 2014 et a montré une flexibilité considérable dans ses outils et objectifs. Ces derniers mois, il a été lié à des tactiques allant de l'exploitation de services légitimes à atteindre supprimé à distance sur les appareils Android à l'utilisation de liens camouflés dans les réseaux publicitaires pour éviter les filtres de courrier. Le centre de sécurité Genians a décrit comment la campagne appelée "Opération Poseidon" a profité de la publicité en ligne click redirection structure pour emmener les victimes aux fichiers malveillants hébergés dans des sites légitimes ou compromis ( Geniens).
L'ingénierie sociale reste la porte d'entrée préférée : les messages qui simulent des avis financiers ou des confirmations de transfert incitent le destinataire à télécharger un fichier ZIP. Dans les incidents documentés par Check Point, ces ZIP contiennent un leurre en PDF et un accès direct Windows (LNK) qui, lorsqu'il est ouvert, exécute un chargeur PowerShell intégré. De là, une chaîne multiniveaux est déclenchée : des documents sont extraits pour distraire l'utilisateur, un fichier CAB est déballé avec une porte arrière dans PowerShell, des scripts pour préparer la persistance et un exécutable utilisé pour essayer de lever des privilèges en utilisant des techniques UAC connues, y compris fodhelper. exe abus (voir MITRE ATT & CK).
La porte arrière observée fait des vérifications pour éviter les environnements d'analyse et les bacs à sable, décrit le système et cherche à consolider l'accès. Après avoir acquis une présence, l'attaquant dépose un outil légitime de gestion à distance, SimpleHelp, pour maintenir un contrôle persistant et communiquer avec des serveurs de commande et de contrôle camouflés sous un « filtre » qui limite le trafic uniquement aux connexions typiques du navigateur, ce qui rend difficile de le détecter par des contrôles réseau. Une partie de la sophistication technique est montrée dans la capacité de fixer des exceptions dans Microsoft Defender et dans la suppression des dispositifs pour réduire la traçabilité.
Ce qui a particulièrement attiré l'attention des analystes, c'est l'intervention possible d'outils d'intelligence artificielle dans la création de la porte arrière : sa conception modulaire, sa documentation lisible et ses commentaires de type position-marqueur indiquent un développement assisté par l'IV. Cette utilisation non seulement accélère la production de code malveillant, mais tend également à homogénéiser et "polish" malware, le rendant plus durable et peut-être plus difficile à distinguer des logiciels légitimes.
La convergence des techniques traditionnelles - phishing de vitesse, abus d'adresses publicitaires telles que l'infrastructure double-clic, les fichiers LNK et l'exploitation de services légitimes - avec des pratiques émergentes telles que la génération assistée par l'IA représente un changement stratégique : au lieu de chercher simplement des références ou des données spécifiques des utilisateurs finaux, les attaquants pointent vers des environnements de développement et des chaînes d'approvisionnement, où une seule intrusion peut ouvrir de multiples fronts et compromettre des projets entiers.
Cette orientation vers les équipes de développement n'est pas isolée. Parallèlement, des campagnes ont été signalées à l'aide de tunnels implantés dans Visual Studio Code pour l'accès à distance, LNK malveillant fournissant des chevaux de Troie, et des engagements à mettre à jour les fournisseurs de logiciels d'affaires pour distribuer des familles de logiciels malveillants aux clients. Recherche de signatures telles que AvecSecure montrer comment les incidents dans la chaîne d'approvisionnement et dans les outils de gestion ont été exploités à plusieurs reprises par les acteurs à des fins financières et de renseignement.
Que peuvent faire les équipes concernées, en particulier dans le secteur de la blockchain et dans les développements sensibles? Tout d'abord, vous devez récupérer le bon sens appliqué à la cybersécurité : méfiez-vous des fichiers compressés et de l'accès direct reçu par courrier, validez les envois et les liens en dehors du flux normal de travail, et évitez d'exécuter des binaires téléchargés sans analyse préalable. Du point de vue technique, il est essentiel de renforcer les contrôles sur les paramètres, de limiter la possibilité d'exécution de PowerShell sans supervision, les tâches programmées d'audit et les privilèges élevés, de maintenir des signatures et des détections à jour et d'appliquer la segmentation et le contrôle des sorties sur le réseau pour empêcher les systèmes compromis d'atteindre les serveurs C2. Ressources provenant d'organismes tels que CISA offrir des guides pratiques sur la façon d'atténuer les campagnes d'hameçonnage et de réagir aux incidents.
Il est également important d'examiner les pratiques internes de gestion et de mise à jour des unités; le risque qu'un outil ou un prestataire de services légitime soit utilisé comme vecteur de distribution persiste, de sorte que la vérification de l'intégrité et la surveillance en temps réel des performances sont des mesures essentielles. Vérifier l'utilisation et la configuration des solutions RMM comme SimpleHelp - et limiter leur déploiement à ce qui est strictement nécessaire - réduit la surface d'attaque.
L'apparition de code malveillant avec "signature" de l'IA pose un dilemme supplémentaire: la même technologie qui accélère la défense (détection basée sur le comportement, analyse automatisée) peut également faciliter les attaquants à produire des logiciels malveillants plus cohérents et modulaires. C'est pourquoi la réponse doit être double : améliorer les outils de détection et, en même temps, cultiver l'hygiène de sécurité humaine et les processus organisationnels qui réduisent la probabilité qu'un clic imprudent devienne un engagement systémique.
En bref, la campagne attribuée à Konni souligne que les menaces évoluent en combinant de vieilles tactiques avec de nouvelles capacités. La coopération entre les fournisseurs de sécurité, les entreprises technologiques et les équipes de développement, ainsi que l'adoption de contrôles de base et avancés, sont le meilleur moyen de rendre ces attaques difficiles à atteindre. Pour plus de détails techniques sur la recherche et les indicateurs connexes, voir le rapport de la Recherche au point de contrôle et analyses des acteurs connexes publiées par Geniens et AvecSecure.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...