Check Point Research ha rivelato che il gruppo di minaccia persistente avanzata (APT) della Corea del Nord, KONNI, ha preso di mira gli sviluppatori di blockchain in Giappone, Australia e India. Gli hacker stanno utilizzando backdoor PowerShell generate da IA.
Secondo rapporti pubblicati il 21 gennaio 2026, l'attacco inizia quando KONNI utilizza Discord per offrire un link che invita gli sviluppatori a scaricare un file ZIP. Questo archivio contiene elementi che avviano un processo di infezione a più fasi sul computer della vittima.
Il file ZIP include un collegamento di Windows e un file PDF apparentemente autentico. Il collegamento di Windows avvia script che lanciano uno script PowerShell in memoria, generano attività pianificate e estraggono altri file. Questo script si connette quindi a server sotto il controllo degli attaccanti, creando una backdoor permanente sul sistema compromesso.
Check Point Research rivela che il backdoor PowerShell possiede caratteristiche uniche collegate allo sviluppo di codice per modelli di linguaggio di grandi dimensioni (LLM). Inoltre, lo script è rinomato per il suo design modulare, l'eccellente documentazione in inglese e i segnaposto educativi.
Inoltre, include un commento che indica dove inserire un'identificazione univoca del progetto (UUID). Ogni 13 minuti, mentre attende ulteriori istruzioni dagli attaccanti, il backdoor trasmette informazioni di sistema a un server remoto utilizzando questo UUID per identificare l'istanza del progetto su ciascun dispositivo compromesso.
Dal 2014, KONNI è attiva. Gli sforzi precedenti hanno preso di mira le istituzioni governative e diplomatiche della Corea del Sud, nonché le organizzazioni associate alla Penisola Coreana.
L'attenzione dell'organizzazione si è recentemente spostata sull'industria delle criptovalute, puntando in particolare ai programmatori blockchain che sovrintendono all'infrastruttura e al codice per le iniziative che utilizzano valute digitali.