KONNI-Gruppe setzt KI-generierte Schadsoftware gegen Blockchain-Entwickler ein

Nordkoreanische Hacker nutzen erstmals eine von Künstlicher Intelligenz erzeugte PowerShell-Schadsoftware, um Entwickler in der Asien-Pazifik-Region zu infiltrieren. Das Ziel: Die langfristige Ausspähung von Kryptowährungs-Projekten und der Diebstahl digitaler Vermögenswerte. Dieser Einsatz von KI markiert eine neue Eskalationsstufe für staatlich geführte Cyberangriffe.

KI als Game-Changer für Cyberkriminelle

Sicherheitsforscher von Check Point identifizierten die neuartige Malware und stellten ihre „ungewöhnlich polierte Struktur“ fest. Klare Dokumentation, ein sauberer modularer Aufbau und spezifische Code-Kommentare deuten stark darauf hin, dass ein Large Language Model (LLM) bei der Entwicklung half. Diese KI-gestützte Methode ermöglicht es Bedrohungsakteuren, hochgradig angepasste und schwer erkennbare Angriffswerkzeuge effizienter zu produzieren.

„Die Nutzung von KI in Cyberangriffen ist die gefürchtete nächste Stufe“, so ein Analyst. Dass nun eine staatlich unterstützte Gruppe wie KONNI diese Technik einsetzt, zeigt: Aus der Theorie ist bittere Realität geworden. Die Schwelle für die Erstellung komplexer Malware sinkt dramatisch – eine Flut raffinierterer Cyber-Bedrohungen könnte folgen.

So funktioniert der mehrstufige Angriff

Der Angriff beginnt mit einer gezielten Phishing-Kampagne, oft auf Plattformen wie Discord. Entwickler werden dazu verleitet, ein ZIP-Archiv herunterzuladen, das vermeintlich Projekt-Dokumentation enthält. Darin versteckt ist eine bösartige Windows-Verknüpfung (.LNK).

Entwickler und Sicherheitsteams sollten Phishing-Vektoren wie getarnte ZIP-Dateien und Discord‑Links nicht unterschätzen – diese Trojaner nutzen oft PowerShell‑Loader und ausgefeilte Tarntechniken. Das kostenlose Anti‑Phishing‑Paket erklärt in einer praxisnahen 4‑Schritte-Anleitung aktuelle Angriffs-Szenarien, deckt psychologische Tricks wie CEO‑Fraud auf und liefert Checklisten für Datei‑Inspektion, UAC‑Härtung und den Umgang mit verdächtigen Downloads. Schützen Sie Ihre Dev‑Umgebung und sensiblen Krypto‑Assets. Anti-Phishing-Paket jetzt herunterladen

Wird diese Datei ausgeführt, startet ein komplexer Infektionsprozess:
1. Ein PowerShell-Loader wird gestartet und öffnet sofort ein harmloses DOCX-Dokument als Ablenkung.
2. Im Hintergrund extrahiert die Malware ein CAB-Archiv mit dem eigentlichen Hintertür-Programm, Batch-Dateien und einem Tool zur Umgehung der Windows User Account Control (UAC).
3. Zur dauerhaften Einrichtung legt die Schadsoftware einen stündlichen Zeitplan-Job an, der als legitimer OneDrive-Prozess getarnt ist.
4. Dieser Job führt ein verschlüsseltes Skript direkt im Arbeitsspeicher (RAM) aus – eine Technik, die die Erkennung durch klassische Virenscanner erschwert.
5. Nach der Ausführung löscht sich das Skript selbst und verwischt so seine Spuren für eine forensische Analyse.

Tarnung und Persistenz im Fokus

Die KI-generierte Malware legt besonderen Wert auf Unsichtbarkeit. Neben der Speicher-Ausführung und Spurenbeseitigung kann das Hintertür-Programm gezielt Sicherheitsmaßnahmen deaktivieren. Es ist in der Lage, Ausnahmen für Windows Defender hinzuzufügen und macht sich so für die eingebauten Sicherheitstools des Systems unsichtbar. Durch die Umgehung der UAC erlangt es zudem höhere Berechtigungen, ohne den Nutzer zu warnen.

Diese Fokussierung auf Tarnung unterstreicht das strategische Ziel der KONNI-Gruppe: eine langfristige, stille Präsenz. Haben sich die Angreifer erst einmal in einer Entwicklungsumgebung eingenistet, können sie Aktivitäten überwachen, Daten abgreifen und auf den optimalen Zeitpunkt warten, um auf Krypto-Wallets zuzugreifen oder einen größeren Supply-Chain-Angriff zu starten.

Geopolitische Motive und lukrative Krypto-Ziele

Die KONNI-Gruppe, auch unter den Aliasen TA406 oder Opal Sleet bekannt, ist seit 2014 für Cyber-Spionage bekannt. Bislang konzentrierte sie sich auf geopolitische Ziele in Südkorea und Russland. Die jetzige Hinwendung zum lukrativen Kryptowährungs-Sektor spiegelt einen breiteren Trend unter nordkoreanischen Hackern wider, die zur Devisenbeschaffung für das Regime beitragen.

Für Unternehmen, insbesondere in der Tech- und Blockchain-Branche, ist dies ein Weckruf. Experten empfehlen dringend:
* Verschärfte Datei-Inspektion bei Downloads,
* erhöhte Sicherheitsvorkehrungen für Developer-Arbeitsplätze und
* die Implementierung robuster DevSecOps-Kontrollen.

Die Schlacht um Cybersicherheit betritt eine neue Ära – und die Gegner haben nun KI in ihrem Arsenal.