Konni attaque les développeurs de blockchain avec des logiciels malveillants pilotés par l'IA pour voler des identifiants, des portefeuilles et des fonds

Au cours des dernières semaines, des chercheurs en sécurité ont détecté une campagne visant les personnes travaillant dans le développement de blockchain et cryptomonedas, et l'auteur semble être un groupe avec des connexions nord-coréennes connues pour l'espionnage et les opérations de sabotage: Konni (également tracé comme Opal Sleet ou TA406). L'analyse technique, publiée par Check Point, montre une chaîne d'infection conçue pour tromper les ingénieurs et les développeurs à travers des liens sur les plateformes de messagerie et les fichiers osfusés qui finissent par exécuter le code PowerShell dans la mémoire du système. L'objectif ultime n'est pas seulement l'intrusion, mais aussi l'accès à des actifs sensibles dans l'environnement de développement : les références, l'infrastructure, l'accès aux portefeuilles et, en fin de compte, les fonds de cryptomonéda. Vous pouvez lire le rapport complet des chercheurs à Check Point dans ce lien: Recherche.checkpoint.com - Konni cible les développements avec les logiciels malveillants AI.

La chaîne d'attaque est subtile et profite des techniques familiales : l'entrée est faite par un lien hébergé dans Discord qui télécharge un ZIP avec un leurre au format PDF et un accès direct malveillant (.LNK). Lorsque vous ouvrez cet accès direct, un chargeur PowerShell en relief est utilisé pour extraire un document DOCX et un fichier CAB. À l'intérieur de l'ACR il y a une porte arrière écrite en PowerShell, deux scripts par lots et un exécutable qui tente d'éviter le contrôle de compte utilisateur (UAC). Le DOCX est montré de manière à ce que la victime ne soupçonne pas, alors que l'un des lots inclus est chargé de préparer l'installation : il crée des répertoires de travail, insère une tâche programmée qui est passée par un démarrage OneDrive et laisse sur le disque un script chiffré qui défigure la tâche au moyen d'une opération XOR avant de l'exécuter en mémoire. La tâche s'efface également pour rendre difficile la détection médico-légale du matériel commis.

La porte arrière de PowerShell est très obscurcie: les auteurs ont utilisé le codage au moyen d'opérations arithmétiques pour les chaînes, la reconstruction dynamique du texte en temps d'exécution et l'exécution finale par Invoke- Expression, ce qui empêche les signatures statiques de l'identifier facilement. Mais ce qui a le plus attiré l'attention des analystes, c'est la signature procédurale du code lui-même : documentation propre et ordonnée au début du script, structure modulaire et commentaires qui fonctionnent comme des marqueurs de gabarit, par exemple des indications pour remplacer un « projet permanent UUID ». Cette façon de marquer le code est typique des artefacts générés par les grands modèles linguistiques lorsqu'ils produisent le code, et pour les chercheurs, c'est un signe que l'échantillon peut avoir été aidé par l'IV dans sa création.

Avant de déployer sa logique malveillante, le binaire vérifie l'environnement : il passe en revue le matériel, les logiciels et l'activité de l'utilisateur pour essayer de détecter s'il est dans un environnement d'analyse (machines virtuelles ou bacs à sable) et génère un identifiant unique pour la machine infectée. De là le comportement bifurca selon les privilèges du processus dans l'hôte; dans tous les cas, la communication avec le serveur de commande et de contrôle est maintenue régulière et à intervalles aléatoires, en envoyant les métadonnées de base du système et en attendant les commandes. Lorsque le serveur répond avec le code PowerShell, la porte arrière le transforme en bloc de script et l'exécute comme travail de fond, ce qui facilite le fonctionnement flexible et discret.

L'attribution à Konni n'a pas été faite par intuition : les chercheurs ont comparé les formats de lanceurs, les coïncidences dans les noms de leurres et de scripts, et la structure de la chaîne d'exécution avec les campagnes précédentes associées à l'acteur. Konni est sur le radar de la communauté de la sécurité depuis au moins 2014 et a été lié par différentes équipes à des groupes d'activités opérant avec des motivations géopolitiques en Asie et en Europe. Dans cette vague d'attaques, les échantillons analysés provenaient d'expéditions du Japon, de l'Australie et de l'Inde, suggérant une approche régionale en Asie-Pacifique.

Pourquoi s'intéresser aux développeurs de blockchain ? Un environnement de développement engagé peut donner à un attaquant un accès direct aux clés, aux identifiants d'API et aux configurations d'infrastructure continues qui permettent de déplacer ou de vider des fonds numériques, ou insérer des portes de retour dans des logiciels légitimes. Pour les groupes ayant une histoire de vol de cryptoétranger ou d'opérations secrètes, un seul hôte avec les permissions appropriées peut être extrêmement rentable ou stratégiquement utile.

Si vous travaillez dans cet écosystème, les recommandations des experts sont doubles : d'une part, accroître la surveillance et renforcer les contrôles techniques ; d'autre part, polir l'hygiène numérique et les pratiques opérationnelles. Évitez de suivre des liens non sollicités sur les canaux de discussion, de traiter les fichiers suspects LNK et ZIP reçus en dehors des canaux officiels, et en utilisant les politiques d'exécution et de surveillance PowerShell sont des mesures pratiques qui réduisent la surface de l'attaque. Pour la gestion des secrets et des références en particulier, les ressources de référence telles que le Guide sur la gestion secrète de l'OWASP offrent de bonnes pratiques qui devraient être intégrées dans les flux de travail: OWASP - Gestion des secrets Cheat Sheet. Pour protéger les équipes contre les leurres plus généraux et les campagnes d'hameçonnage, le Centre national de cybersécurité du Royaume-Uni offre des conseils pratiques et accessibles: NCSC - Guide d'hameçonnage.

De la détection à la médiation, la coopération entre les équipes de sécurité et de développement est essentielle. Les tests d'intégrité de l'environnement de développement, la rotation des clés, l'utilisation de portefeuilles de matériel pour les milieux critiques et le principe de moins de privilège dans les environnements productifs et de construction empêchent une intrusion dans un poste de travail de devenir une lacune catastrophique. Au niveau de l'infrastructure, les solutions EDR/NGAV qui détectent les activités de PowerShell en mémoire et contrôlent les tâches programmées et les charges d'entrée (comme la surveillance des changements dans le registre ou dans le dossier de démarrage) aident à identifier les chaînes telles que celles décrites par Check Point.

Les responsables de la sécurité devraient également examiner les indicateurs d'engagement (IoC) partagés par les chercheurs et les corréler avec la connexion interne pour identifier les signaux d'activité. Check Point a publié les artefacts et les hachages associés à cette campagne dans son rapport, ce qui facilite la recherche proactive dans les milieux corporatif et universitaire. Si vous avez besoin d'une lecture directe de l'analyse technique et de l'IoC, la note de point de contrôle est disponible ici: Konni cible les développements avec les logiciels malveillants AI - Check Point Research.

L'épisode laisse deux leçons claires : les groupes à haut risque adaptent leurs outils pour tirer parti de l'automatisation et des modèles de langage dans la génération de logiciels malveillants, et les cibles traditionnelles d'espionnage se développent dans le monde de cryptomonedas et de l'infrastructure de développement. La combinaison de leurres crédibles, de techniques d'évitement et de codes potentiellement aidés par l'IV nécessite une défense qui combine contrôle technique, sensibilisation et processus robustes pour protéger les clés, pipelines et ressources critiques.