A operação entrega atalhos LNK, scripts BAT/VBS, persistência por tarefa agendada, evasão de análise e escalonamento via fodhelper.exe para manter acesso em ambientes de engenharia ligados a blockchain.
| Componente | Campanha KONNI com arquivo ZIP, documento isca, atalho LNK, carregador PowerShell, scripts BAT/VBS, backdoor PowerShell e uso posterior de SimpleHelp. |
| Vetor | Link hospedado no Discord baixa um ZIP por vetor inicial não determinado; a execução depende da abertura do atalho LNK incluído ao lado de documentos isca sobre projetos de blockchain. |
| Impacto | Comprometimento de estáções de desenvolvimento, persistência por tarefa agendada, possível elevação de privilégio, exclusão no Windows Defender e acesso remoto interativo quando o fluxo chega ao estágio com SimpleHelp. |
| Prioridade | Bloquear a execução de atalhos e scripts vindos de arquivos compactados, auditar tarefas agendadas semelhantes a OneDrive, revisar exclusões em C:\ProgramData e investigar chaves de registro associadas ao abuso de fodhelper.exe. |
| Artefatos | Global\SysInfoProject_, f7d77a6d-36e0-4fcb-bae7-5f4b3b723f61, rKXujm.exe, OneDriveUpdater.exe, OneDriveUpdate.ps1, start.vbs, simi.bat, schedule1.bat, uc.exe. |
| IoCs | Amostras foram observadas em envios ao VirusTotal associados a Japão, Austrália e Índia; o material recebido não inclui hashes, endereços IP, domínios de C2 ou URLs completas. |
A campanha atribuída ao conjunto de atividades KONNI usa phishing direcionado contra desenvolvedores e equipes de engenharia, com iscas apresentadas como documentação legítima de projetos. O tema predominante envolve blockchain e criptoativos, incluindo materiais que simulam arquitetura, pilhas de tecnologia, cronogramas, orçamentos e marcos de entrega. O objetivo operacional indicado pelo encadeamento não é apenas a execução inicial em uma estáção de usuário, mas a obtenção de uma posição dentro de ambientes de desenvolvimento, onde há maior chance de acesso a infraestrutura, credenciais de API, carteiras, repositórios, pipelines e sistemas usados para entregar software.
A execução começa com um link hospedado no Discord que baixa um arquivo ZIP por um vetor inicial não identificado. O ZIP contém um PDF de isca e um atalho Windows LNK. O atalho inicia um carregador PowerShell embutido, que extrai um documento DOCX e um arquivo CAB; ambos estão dentro do próprio LNK e foram codificados com XOR de chave única. Em seguida, um script em lote prepara um diretório de estágio em C:\ProgramData, move o código do backdoor PowerShell e outro arquivo BAT para esse local, cria persistência por tarefa agendada e remove parte do artefato inicial para reduzir a visibilidade forense.
O backdoor PowerShell apresenta sinais consistentes de desenvolvimento assistido por IA: estrutura modular, documentação interna extensa, separação clara de funções e comentários instrutivos típicos de código gerado para ser adaptado por um operador humano. Esses sinais não substituem telemetria de autoria, mas são importantes para defesa porque indicam aceleração no ciclo de produção de ferramentas. A operação combina esse padrão de código mais organizado com técnicas já conhecidas em intrusões baseadas em scripts, como ofuscação de strings, execução dinâmica por IEX, persistência via tarefa agendada, verificações anti-análise e transição para ferramenta RMM legítima.
O primeiro estágio usa o atalho LNK como mecanismo de execução. Ao ser aberto, o atalho dispara um carregador PowerShell embutido que reconstrói os componentes ocultos. O DOCX funciona como continuidade da isca visual, enquanto o CAB e os scripts extraídos sustentam o fluxo malicioso. A codificação XOR de byte único não é uma barreira criptográfica forte, mas é suficiente para alterar assinaturas simples, esconder conteúdo de inspeções superficiais e atrasar a análise manual quando o arquivo é visto apenas como um documento compactado ou um atalho.
A etapa BAT cria um diretório em C:\ProgramData, um local frequentemente abusado por malware porque costuma permitir escrita por processos de usuário e é comum em softwares legítimos. Depois de mover o backdoor e um segundo script para esse diretório, o fluxo registra uma tarefa agendada disfarçada como inicialização relacionada ao OneDrive. A tarefa roda de hora em hora com o privilégio do usuário atual e executa um comando PowerShell inline. Esse comando lê o backdoor criptografado no disco, aplica XOR com a chave Q e executa o script decodificado diretamente na memória. A referência a OneDriveUpdater.exe, ausente nas amostras mais recentes, indica reaproveitamento de fluxo ou resíduo de uma variante anterior.
O backdoor usa ofuscação baseada em aritmética para construir strings em tempo de execução. Em vez de armazenar comandos e parâmetros em texto claro, ele soma e subtrai literais numéricos que resolvem para caracteres ASCII individuais. As strings recuperadas são concatenadas em variáveis que atuam como dicionário interno, e a lógica final é montada dinamicamente com substrings antes da execução por IEX. Esse desenho dificulta buscas por termos diretos, mas deixa padrões detectáveis: alta densidade de operações aritméticas, montagem de caracteres, uso de Invoke-Expression, variáveis intermediárias que viram índices de string e execução de conteúdo recém-decodificado.
Antes de executar as ações principais, o backdoor aplica barreiras contra análise. O script valida requisitos mínimos de hardware, procura ferramentas como IDA, Wireshark e Procmon, e exige interação do usuário por meio de atividade de mouse e quantidade mínima de cliques. Se essas condições não forem satisfeitas, o processo encerra. Após passar por esses filtros, ele cria um mutex global com o prefixo Global\SysInfoProject_ e usa o UUID fixo f7d77a6d-36e0-4fcb-bae7-5f4b3b723f61, observado de forma consistente nas amostras analisadas. Para identificação da vítima, consulta WMI para obter o número de série da placa-mãe e o UUID do sistema, concatena esses valores, calcula SHA-256, trunca o resultado hexadecimal para os primeiros 16 caracteres e adiciona uma string de campanha codificada no próprio backdoor.
O fluxo muda conforme o nível de privilégio. No cenário de usuário, o backdoor usa uma técnica de bypass de UAC por fodhelper.exe. A técnica abusa da elevação automática do binário e altera resolução de protocolo no registro do usuário: cria um manipulador em HKCU\Software\Classes\.thm\Shell\Open\command apontando para um executável controlado pelo atacante e define HKCU\Software\Classes\ms-settings\CurVer para referenciar o tipo .thm. Quando fodhelper.exe é iniciado, o Windows segue esse redirecionamento e executa o payload sem prompt de UAC. Nessa campanha, o payload elevado é rKXujm.exe, utilitário de 32 bits usado para alterar HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemConsentPromptBehaviorAdmin para 0, desabilitando prompts de UAC para contas administrativas. No cenário de administrador, o backdoor remove o executável de bypass, adiciona exclusão do Windows Defender para C:\ProgramData e substitui a tarefa agendada por uma versão com privilégios elevados. No cenário SYSTEM, implanta SimpleHelp, uma ferramenta legítima de monitoramento e gerenciamento remoto, para acesso interativo de longo prazo.
A superfície principal são estáções Windows usadas por desenvolvedores, engenheiros e equipes com acesso a recursos de blockchain. O risco é maior quando usuários recebem arquivos de projeto fora dos canais formais, abrem arquivos ZIP vindos de links de mensagens, executam atalhos LNK extraídos de anexos e possuem permissões que permitem criação de tarefas agendadas, escrita em C:\ProgramData e alteração de chaves sob HKCU\Software\Classes. Ambientes com contas administrativas locais ficam expostos a um impacto adicional porque o fluxo tenta reduzir prompts de UAC e persistir em contexto de alta integridade.
As variantes anteriores ampliam a superfície de investigação. Amostras enviadas ao VirusTotal em outubro de 2025 mostram uma cadeia na qual um PowerShell ofuscado recupera componentes de um servidor controlado pelo atacante. O fluxo usa start.vbs para iniciar silenciosamente simi.bat, que cria o subdiretório em C:\ProgramData, posiciona scripts, executa OneDriveUpdater.exe e chama schedule1.bat. Esse último cria persistência para execução periódica de OneDriveUpdate.ps1. A variante também inclui uc.exe e OneDriveUpdater.exe; este último baixa e executa um cliente SimpleHelp. A diferença relevante é a distribuição da lógica: nas amostras recentes, mais ações foram consolidadas no lote inicial; nas anteriores, cada script tinha função mais estreita.
A expansão geográfica indicada por amostras associadas a Japão, Austrália e Índia sugere que a defesa não deve restringir hunting a organizações sul-coreanas ou a setores diplomáticos. A telemetria disponível aponta para interesse em equipes técnicas na região APAC, especialmente onde há contato com projetos de criptoativos, infraestrutura de blockchain ou engenharia de software associada a esses ecossistemas. A atribuição permanece apoiada por TTPs e reaproveitamento de nomes, estrutura e lógica de execução compatíveis com o conjunto KONNI, mas a resposta defensiva deve priorizar evidências locais de execução, persistência e comunicação, não apenas rótulos de ator.
- Estáções Windows de desenvolvedores que abrem arquivos ZIP com
PDF,DOCXe atalhoLNKrecebidos por canais de mensagem ou colaboração. - Contas com permissão para criar tarefas agendadas e gravar componentes sob
C:\ProgramData. - Hosts em que
fodhelper.exepode ser abusado por alterações emHKCU\Software\Classese onde contas administrativas têm UAC enfraquecido. - Ambientes de engenharia com acesso a repositórios, segredos de CI/CD, credenciais de API, infraestrutura de blockchain ou carteiras.
A investigação deve começar pela correlação entre arquivos compactados baixados de links externos, execução de atalhos LNK e criação de processos PowerShell com comandos inline. Em endpoint, procure cadeias em que explorer.exe ou um processo associado à abertura de arquivo inicia powershell.exe, seguido por escrita em C:\ProgramData, criação ou alteração de tarefa agendada e exclusão rápida de scripts BAT. A combinação de PowerShell com leitura de conteúdo criptografado, XOR simples, uso de IEX e ausência de arquivo final em texto claro é mais forte do que qualquer indicador isolado.
Em Windows, eventos de tarefa agendada são fundamentais. Busque nomes que imitam OneDrive, tarefas executadas de hora em hora, ações contendo PowerShell inline e comandos que leem arquivos de C:\ProgramData. Compare o autor da tarefa, o horário de criação e o usuário associado com o horário de download ou extração do ZIP. Em ambientes com EDR, cruze esse ponto com alterações no Windows Defender, especialmente exclusões adicionadas para C:\ProgramData, e com execução de fodhelper.exe precedida por escrita em HKCU\Software\Classes\.thm\Shell\Open\command e HKCU\Software\Classes\ms-settings\CurVer.
A telemetria de processo também deve cobrir os nomes de componentes observados. rKXujm.exe é relevante por ser o utilitário de 32 bits usado no bypass de UAC desta campanha. OneDriveUpdater.exe merece tratamento duplo: nas amostras recentes aparece como referência residual ausente; nas variantes anteriores é um PE de 64 bits que baixa e executa SimpleHelp. A presença de SimpleHelp não é necessariamente maliciosa em organizações que usam RMM, portanto a validação deve comparar origem de instalação, linha de comando, diretório, assinatura, usuário que executou, janela temporal e relação com scripts start.vbs, simi.bat, schedule1.bat ou OneDriveUpdate.ps1.
Para rede e proxy, o material disponível não fornece domínios, IPs ou URLs completas de C2. Ainda assim, a defesa pode procurar downloads de ZIP a partir de links do Discord, conexões subsequentes feitas por PowerShell e tráfego de instalação ou operação do SimpleHelp em máquinas que não deveriam usar essa ferramenta. Em repositórios, sistemas de build e cofres de segredos, a resposta deve verificar uso anômalo de tokens depois da possível janela de infecção, porque a campanha mira operadores com acesso a recursos que podem permitir movimento posterior fora do endpoint inicial.
- Execução de
powershell.exeiniciada por abertura deLNK, com comando inline,IEXou reconstrução de strings por operações aritméticas. - Criação de diretórios e movimentação de scripts para
C:\ProgramDatalogo após extração de arquivo ZIP. - Tarefas agendadas com tema OneDrive, periodicidade horária e ação que decodifica ou executa PowerShell a partir do disco.
- Alterações em
HKCU\Software\Classes\.thm\Shell\Open\command,HKCU\Software\Classes\ms-settings\CurVereHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemConsentPromptBehaviorAdmin. - Adição de exclusão do Windows Defender para
C:\ProgramDatae execução defodhelper.exe,rKXujm.exe,OneDriveUpdater.exe,uc.exeou SimpleHelp fora do padrão administrativo esperado.
A contenção inicial deve isolar hosts com evidência de execução do LNK, criação de tarefa agendada ou alteração de registro ligada ao bypass de UAC. Em seguida, remova tarefas agendadas suspeitas, colete os scripts e executáveis antes de apagar artefatos, exporte as chaves de registro afetadas para preservação forense e verifique se há exclusão do Defender apontando para C:\ProgramData. Se SimpleHelp estiver presente sem autorização operacional, trate a máquina como comprometida com possível acesso interativo e revise sessões, binários instalados, serviços, diretórios de configuração e tráfego associado.
A erradicação deve restaurar a política de UAC, remover manipuladores criados sob HKCU\Software\Classes, revisar o valor alterado em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemConsentPromptBehaviorAdmin e validar que fodhelper.exe não está sendo chamado por scripts ou tarefas persistentes. Como a campanha mira engenharia, a resposta não pode terminar no endpoint. Repositórios acessados pelo usuário, tokens de API, chaves de carteira, credenciais de cloud, segredos de CI/CD e contas de sistemas de build devem ser revisados e rotacionados conforme exposição real. A rotação deve priorizar credenciais armazenadas localmente, tokens usados recentemente pela máquina e segredos com permissão sobre infraestrutura de blockchain ou pipelines de entrega.
Para reduzir recorrência, bloqueie ou alerte execução de LNK dentro de arquivos compactados recebidos da internet, aplique controles de marca da Web quando possível, restrinja PowerShell a modo de linguagem mais controlado para perfis de alto risco e habilite logging detalhado de PowerShell, incluindo Script Block Logging quando compatível com a política interna. Regras de detecção devem combinar comportamento, não apenas nomes: escrita em C:\ProgramData, criação de tarefa horária, PowerShell decodificado em memória, IEX, alterações de protocolo ms-settings e execução de fodhelper.exe formam uma sequência defensivamente útil mesmo quando nomes de arquivos mudarem.
- Isolar hosts com tarefa agendada suspeita, execução de
LNKou alterações de UAC antes de remover artefatos. - Coletar
LNK, scripts BAT/VBS, PowerShell ofuscado, executáveis PE e registros de tarefa agendada para análise. - Remover exclusões indevidas do Windows Defender, restaurar configurações de UAC e limpar chaves de
HKCU\Software\Classesusadas no redirecionamento. - Rotacionar segredos de desenvolvimento, tokens de API, credenciais de cloud, chaves de CI/CD e acessos a infraestrutura de blockchain quando houver evidência de exposição.
- Criar detecções para
IEX, ofuscação aritmética em PowerShell, tarefas com tema OneDrive emC:\ProgramData, execução defodhelper.exeapós escrita no registro e instalação não autorizada de SimpleHelp.
0 Comentários