Nas últimas semanas, pesquisadores de segurança descobriram uma campanha dirigida a pessoas que trabalham em desenvolvimento de blockchain e criptomoedas, e o autor parece ser um grupo com conexões norte-coreanas conhecido por operações de espionagem e sabotagem: Konni (também rastreado como Opal Sleet ou TA406). A análise técnica, publicada pela Check Point, mostra uma cadeia de infecção pensada para enganar engenheiros e desenvolvedores através de links em plataformas de mensagens e arquivos ofuscados que acabam executando código em PowerShell dentro da memória do sistema. O objetivo final não é apenas a intrusão, mas o acesso a ativos sensíveis do ambiente de desenvolvimento: credenciais, infraestruturas, acessos a wallets e, em última análise, fundos em criptomoedas. Você pode ler o relatório completo dos pesquisadores em Check Point neste link: research.checkpoint.com — Konni targets developers with AI malware.
A cadeia de ataque é subtil e aproveita técnicas já familiares: a entrada é produzida através de um link hospedado em Discord que descarrega um ZIP com um señuelo em formato PDF e acesso direto (.LNK) malicioso. Ao abrir esse acesso direto, um carregador de PowerShell é lançado embebido que extrai um documento DOCX e um arquivo CAB. No interior do CAB há um backdoor escrito em PowerShell, dois scripts por lotes e um executável que tenta contornar o Controle de Contas de Usuário (UAC). O DOCX mostra-se para que a vítima não suspeite, enquanto um dos batch incluídos é encarregado de preparar a instalação: crie pastas de trabalho, instala uma tarefa programada que se faz passar por um início do OneDrive e deixa em disco um programa encriptado que a tarefa decifra por uma operação XOR antes de executá-lo em memória. A tarefa também se apaga a si mesma para dificultar a detecção forense na equipe comprometida.
O backdoor em PowerShell está muito ofuscado: os autores têm utilizado codificação por meio de operações aritméticas para as cadeias, reconstrução dinâmica de texto em tempo de execução e execução final mediante Invoke-Expression, o que evita que as assinaturas estáticas o identifiquem com facilidade. Mas o que mais chamou a atenção dos analistas foi a assinatura procedimental do próprio código: documentação limpa e ordenada no início do programa, estrutura modular e comentários que funcionam como marcadores de modelo, por exemplo indicações para substituir um “UUID permanente de projeto”. Essa forma de marcar o código é típica de artefatos gerados por grandes modelos de linguagem quando produzem código, e para os pesquisadores é um sinal de que a amostra pode ter sido assistida por IA em sua criação.
Antes de colocar sua lógica maliciosa, o binário efectua verificações de ambiente: verifique hardware, software e atividade do usuário para tentar detectar se está em um ambiente de análise (máquinas virtuais ou sandboxes) e gera um identificador único para a máquina infectada. A partir daí o comportamento bifurca segundo os privilégios que o processo tenha no host; em qualquer caso a comunicação com o servidor de comando e controle mantém-se periódica e com intervalos aleatórios, enviando metadados básicos do sistema e esperando comandos. Quando o servidor responde com o código PowerShell, o backdoor transforma-o num bloco de script e executa-o como trabalhos em segundo plano, o que facilita operar de maneira flexível e discreta.
A atribuição a Konni não foi feita por intuição: os pesquisadores compararam formatos de lançadores, coincidências em nomes de senhões e scripts, e a estrutura da cadeia de execução com campanhas prévias associadas ao ator. Konni leva no radar da comunidade de segurança desde pelo menos 2014 e tem sido ligada por diferentes equipes a clusters de atividade que operam com motivações geopolíticas na região da Ásia e Europa. Nesta onda de ataques, as amostras analisadas procediam de remessas do Japão, Austrália e Índia, sugerindo uma abordagem regional na Ásia-Pacífico.
Por que o interesse em desenvolvedores de blockchain? Um ambiente de desenvolvimento comprometido pode dar a um atacante acesso direto a chaves, credenciais de APIs e configurações de infraestrutura contínua que permitem mover ou esvaziar fundos digitais, ou inserir portas traseiras em software legítimo. Para grupos com história de roubo de criptodivisas ou operações encobertas, um único host com permissões adequadas pode ser extremamente rentável ou útil do ponto de vista estratégico.
Se você trabalha nesse ecossistema, a recomendação dos especialistas é dupla: por um lado, aumentar a vigilância e endurecer controles técnicos; por outro, carregue nas práticas operacionais e de higiene digital. Evitar seguir links não solicitados em canais de chat, tratar com suspeita arquivos LNK e ZIP recebidos fora dos canais oficiais, e usar políticas de execução e monitoramento de PowerShell são medidas práticas que reduzem a superfície de ataque. Para a gestão de segredos e credenciais em particular, recursos de referência como o guia OWASP sobre gestão de segredos oferecem boas práticas que convém integrar nos fluxos de trabalho: OWASP — Secrets Management Cheat Sheet. A fim de proteger as equipes contra senheiros e campanhas de phishing mais gerais, a National Cyber Security Centre do Reino Unido mantém conselhos práticos e acessíveis: NCSC — Phishing guidance.
Desde a detecção até à remediação, a cooperação entre equipas de segurança e desenvolvimento é essencial. Os testes de integridade do ambiente de desenvolvimento, a rotação de chaves, o uso de hardware wallets para fundos críticos e o princípio de menor privilégio em ambientes produtivos e build evitam que uma intrusão em uma estação de trabalho se torne uma brecha catastrófica. A nível de infraestrutura, soluções EDR/NGAV que detectem atividades de PowerShell em memória, e controles sobre tarefas programadas e cargas de entrada (como a monitorização de mudanças no registro ou na pasta de início) ajudam a identificar cadeias como descrito pela Check Point.
Os responsáveis pela segurança também devem rever os indicadores de compromisso (IoC) partilhados pelos investigadores e correlacionar-os com os logs internos para identificar sinais de atividade. Check Point publicou os artefatos e hashes associados a esta campanha em seu relatório, o que facilita a busca proativa em ambientes corporativos e acadêmicos. Se necessitar de uma leitura direta da análise técnica e dos IoC, a nota de Check Point está disponível aqui: Konni targets developers with AI malware — Check Point Research.
O episódio deixa duas lições claras: os grupos de alto risco estão adaptando suas ferramentas para aproveitar automação e modelos de linguagem na geração de malware, e os objetivos tradicionais de espionagem se ampliam para o mundo das criptomoedas e da infraestrutura de desenvolvimento. A combinação de cogumelos credíveis, técnicas de evasão e código potencialmente assistido por IA exige uma defesa que combine controle técnico, consciência e processos robustos para proteger chaves, pipelines e recursos críticos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...