Um grupo ligado à Coreia do Norte tem elevado a aposta: pesquisadores detectaram campanhas de spear-phishing dirigidas a desenvolvedores e equipamentos de engenharia do ecossistema blockchain, nas quais os atacantes empregam malware em PowerShell que parece ter sido gerado com ajuda de ferramentas de inteligência artificial. Estas operações não se limitam já ao ambiente sul-coreano; foram observados objectivos no Japão, Austrália e Índia, de acordo com a análise técnica publicada pelo Japão. Check Point Research, o que sugere uma evolução na estratégia e o alcance do ator conhecido como Konni.
Konni – também rastreado na indústria sob nomes como Earth Imp, TA406 ou Vedalia – tem ativo desde pelo menos 2014 e mostrou uma notável flexibilidade em suas ferramentas e objetivos. Nos últimos meses, tem-se relacionado com táticas que vão desde a exploração de serviços legítimos para obter a remoção remota em dispositivos Android até o uso de links camuflados em redes publicitárias para esquivar filtros de correio. O centro de segurança Genians descreveu como a campanha chamada “Operation Poseidon” aproveitou a estrutura de redireccionamento de cliques da publicidade online para levar vítimas para arquivos maliciosos hospedados em sites legítimos ou comprometidos ( Genians).
A engenharia social continua a ser a porta de entrada favorita: mensagens que simulam avisos financeiros ou confirmações de transferência induzem o destinatário a transferir um arquivo ZIP. Em incidentes documentados pela Check Point, esses ZIP contêm um senhô em PDF e um acesso direto Windows (LNK) que, ao abrir, executa um carregador de PowerShell incorporado. A partir daí, é desencadeada uma cadeia multinível: são extraídos documentos para distrair o usuário, desempaqueta um arquivo CAB com um backdoor em PowerShell, scripts em batch para preparar persistência e um executável usado para tentar elevar privilégios através de técnicas conhecidas de omissão do controle de contas de usuário (UAC), entre elas o abuso de fodhelper.exe (ver técnica em MITRE ATT&CK).
O backdoor observado efectua verificações para evitar ambientes de análise e sandboxes, perfila o sistema e busca consolidar acesso. Após ganhar presença, o atacante deposita uma ferramenta legítima de gerenciamento remoto, SimpleHelp, para manter controle persistente e comunica com servidores de comando e controle camuflados sob um “filtro” que limita o tráfego apenas a conexões típicas de navegadores, dificultando sua detecção por parte de controles de rede. Parte da sofisticação técnica é exibida na capacidade de configurar excepções na Microsoft Defender e na eliminação de artefatos para reduzir a rastreabilidade.
O que chamou especialmente a atenção dos analistas é a possível intervenção de ferramentas de inteligência artificial na criação do backdoor: seu design modular, documentação legível e comentários de código tipo marcador de posição apontam para um desenvolvimento assistido por IA. Esse uso não só acelera a produção de código malicioso, mas também tende a homogeneizar e “pulir” o malware, tornando-o mais mantenível e talvez mais difícil de distinguir de software legítimo.
A convergência de técnicas tradicionais — o abuso de redesireções publicitárias como a infraestrutura de duplo clique, arquivos LNK e exploração de serviços legítimos — com práticas emergentes como a geração assistida por IA representa uma mudança estratégica: em vez de procurar apenas credenciais ou dados pontuais de usuários finais, os atacantes apontam para ambientes de desenvolvimento e cadeias de fornecimento, onde uma única intrusão pode abrir múltiplas frentes e comprometer projetos inteiros.
Essa orientação a equipes de desenvolvimento não é isolada. Em paralelo, foram relatadas campanhas que utilizam túneis implantados no Visual Studio Code para acesso remoto, LNK maliciosos que entregam troianos, e compromissos de mecanismos de atualização de provedores de software empresarial para distribuir famílias de malware a clientes. Pesquisas de assinaturas como WithSecure Eles mostram como incidentes na cadeia de fornecimento e em ferramentas de administração foram repetidamente explorados por atores para fins financeiros e de inteligência.
O que podem fazer as equipes afetadas, especialmente no setor blockchain e em desenvolvimentos sensíveis? Primeiro, é necessário recuperar o senso comum aplicado à cibersegurança: desconfiar de arquivos comprimidos e de acessos diretos recebidos por correio, validar remetentes e ligações fora do fluxo normal de trabalho, e evitar executar binários baixados sem análise prévia. Do ponto de vista técnico, é crítico reforçar controles nos endpoints, limitar a possibilidade de execução de PowerShell sem supervisão, auditar tarefas programadas e privilégios elevados, manter assinaturas e detecções atualizadas, e aplicar segmentação e controle de saídas na rede para evitar que sistemas comprometidos alcancem servidores de C2. Recursos de agências como CISA Eles oferecem guias práticas sobre como mitigar campanhas de phishing e responder incidentes.
Também é importante rever práticas internas de gestão de dependências e atualizações; o risco de uma ferramenta legítima ou fornecedor de serviços ser utilizada como vetor de distribuição persiste, pelo que a verificação de integridade e a monitorização do comportamento em tempo real são medidas indispensáveis. Verificar o uso e a configuração de soluções RMM como o SimpleHelp – e restringir sua implantação ao estritamente necessário – reduz a superfície de ataque.
A aparição de código malicioso com “firma” de IA coloca um dilema adicional: a mesma tecnologia que simplifica a defesa (detecção baseada em comportamento, análise automatizada) pode também facilitar os atacantes a produção de malware mais consistente e modular. Por isso a resposta deve ser dupla: melhorar ferramentas de detecção e, ao mesmo tempo, cultivar higiene de segurança humana e processos organizacionais que reduzam a probabilidade de um clique imprudente se tornar um compromisso sistêmico.
Em suma, a campanha atribuída ao Konni sublinha que as ameaças evoluem combinando velhas táticas com novas capacidades. A cooperação entre fornecedores de segurança, empresas de tecnologia e equipamentos de desenvolvimento, juntamente com a adopção de controlos básicos e avançados, é a melhor maneira de dificultar o seu objectivo. Para mais pormenores técnicos sobre a investigação e os indicadores associados, consultar o relatório Check Point Research e análise de atores relacionados publicados por Genians e WithSecure.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...