Check Point Research ha recentemente individuato una sofisticata campagna di phishing orchestrata da KONNI, un gruppo di minaccia legato alla Corea del Nord. Storicamente focalizzato su obiettivi diplomatici in Corea del Sud, l’attore malevolo ha ora ampliato il proprio raggio d’azione verso la regione APAC, colpendo Giappone, Australia e India.
La particolarità di questa offensiva risiede nel bersaglio: non più solo funzionari, ma team di ingegneri e sviluppatori software con accesso a infrastrutture blockchain e risorse crypto.
L’attacco si distingue per l’uso di esche tecniche estremamente curate, che imitano documenti di progetto legittimi completi di architetture, timeline e budget.
Advertising
L’obiettivo primario appare chiaro: infiltrarsi negli ambienti di sviluppo per sottrarre credenziali API, chiavi di portafogli digitali e asset crittografici. Questa evoluzione suggerisce una transizione verso obiettivi puramente finanziari, sfruttando la complessità dei sistemi decentralizzati per massimizzare il profitto illecito.
Catena di infezione (Fonte Checkpoint Research)
L’ascesa del malware generato dall’AI
L’elemento più sorprendente dell’analisi riguarda la scoperta di un backdoor PowerShell che presenta tracce inequivocabili di assistenza tramite intelligenza artificiale. Il codice non appare come il tipico script scritto da un operatore umano sotto pressione, ma segue una struttura modulare eccessivamente pulita e commentata.
La presenza di placeholder con istruzioni esplicite suggerisce che il gruppo KONNI stia utilizzando modelli linguistici per accelerare la creazione di strumenti malevoli sempre più complessi.
Meccanismi di infezione e persistenza
La catena di attacco, riportano i ricercatori, inizia con un link ospitato su Discord che scarica un archivio ZIP contenente un file esca e una scorciatoia Windows malevola.
Advertising
Una volta attivato, il sistema avvia una serie di controlli anti-analisi per rilevare la presenza di sandbox o strumenti di monitoraggio come Wireshark. Per garantire la persistenza, il malware crea un’attività pianificata che simula un processo di aggiornamento di OneDrive, eseguendosi ogni ora per mantenere il controllo.
Privilegi e controllo remoto
La backdoor è progettato per adattarsi ai privilegi dell’utente colpito. Se i diritti sono limitati, tenta di aggirare il controllo UAC di Windows per ottenere poteri amministrativi e disabilitare le notifiche di sicurezza. In scenari avanzati, gli aggressori distribuiscono SimpleHelp, uno strumento di gestione remota legittimo, per mantenere un accesso interattivo a lungo termine.
Questo permette ai criminali di muoversi lateralmente nella rete, trasformando una singola infezione in una compromissione totale dell’infrastruttura di sviluppo.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.
Aree di competenza:Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.