A campanha mira ambientes de engenharia, usa arquivos ZIP com iscas de requisitos de projeto, persistência por tarefa agendada, tentativa de bypass de UAC e implantação do RMM SimpleHelp para acesso remoto contínuo.
| Componente | Backdoor em PowerShell associado ao ator Konni, cadeia com LNK, arquivo CAB, scripts batch, técnica FodHelper para bypass de UAC e implantação do RMM legítimo SimpleHelp. |
| Vetor | Arquivos ZIP com tema de requisitos de projeto, hospedados na CDN do Discord; o vetor exato de acesso inicial não foi confirmado no material analisado. |
| Impacto | Persistência em ambiente Windows, perfilamento do host, tentativa de elevação de privilégio, exclusão do C:\ProgramData no Microsoft Defender, execução de código PowerShell retornado pelo servidor de comando e controle e acesso remoto persistente via SimpleHelp. |
| Prioridade | Investigar estáções de desenvolvimento expostas a iscas de projeto, revisar tarefas agendadas recém-criadas ou substituídas, procurar execução anômala de LNK, PowerShell, AutoIt, scripts batch e instalação inesperada de ferramentas RMM. |
| Artefatos | ZIP, atalho Windows LNK, documento Microsoft Word usado como distração, arquivo CAB, backdoor PowerShell, dois scripts batch, executável auxiliar para bypass de UAC e SimpleHelp. |
| Alvos | Desenvolvedores e equipes de engenharia no setor de blockchain, com observações de alvos no Japão, Austrália e Índia, além do histórico de atividade contra Coreia do Sul, Rússia, Ucrânia e países europeus. |
O ator norte-coreano conhecido como Konni foi observado em uma campanha contra desenvolvedores e equipes de engenharia do setor de blockchain usando um backdoor PowerShell com indícios de ter sido produzido com auxílio de ferramentas de inteligência artificial. A avaliação técnica se apoia em características do código, como estrutura modular, documentação legível e comentários de origem que sugerem geração ou padronização automatizada. Esses sinais não mudam a função operacional do malware, mas indicam que o operador pode estar acelerando o desenvolvimento de ferramentas e reduzindo o esforço necessário para manter módulos reutilizáveis.
A campanha não parece orientada apenas a usuários finais isolados. O objetivo técnico mais relevante é obter presença dentro de ambientes de desenvolvimento, onde uma estáção comprometida pode oferecer acesso indireto a projetos, serviços, credenciais de engenharia, pipelines e repositórios. O contexto não confirma exfiltração de código-fonte nem comprometimento de cadeia de suprimentos nessa campanha específica, portanto o impacto deve ser delimitado ao acesso remoto, persistência, execução de código, perfilamento de host, tentativa de elevação de privilégio e potencial expansão a partir de máquinas usadas por desenvolvedores.
Konni é acompanhado por diferentes nomes, incluindo Earth Imp, Opal Sleet, Osmium, TA406 e Vedalia, e está ativo desde pelo menos 2014. Seu histórico inclui foco em organizações e indivíduos na Coreia do Sul, mas a atividade descrita amplia o recorte geográfico para Japão, Austrália e Índia. O mesmo conjunto de atividades recentes também aparece associado a iscas financeiras, uso de redirecionamento de publicidade legítima para contornar filtros e abuso de sites WordPress mal protegidos para entrega de malware e infraestrutura de comando e controle.
A cadeia mais recente usa arquivos ZIP que imitam documentos de requisitos de projeto e são distribuídos a partir da CDN do Discord. O material analisado não confirma como o alvo recebe inicialmente o arquivo, portanto não é correto afirmar um vetor único de acesso inicial. Uma vez aberto, o pacote contém um atalho Windows LNK que aciona um carregador PowerShell embutido. Esse carregador extrai dois itens adicionais: um documento Microsoft Word usado como isca visual e um arquivo CAB que contém componentes da etapa seguinte.
O arquivo CAB carrega o backdoor PowerShell, dois scripts batch e um executável usado para bypass de Controle de Conta de Usuário. O primeiro script prepara o ambiente, cria persistência por tarefa agendada, posiciona o backdoor para execução e depois remove a si mesmo para reduzir vestígios óbvios em disco. A exibição do documento Word funciona como distração, mantendo a interação do usuário alinhada à isca de requisitos enquanto a execução real ocorre em segundo plano.
Após a execução, o backdoor aplica verificações anti-análise e de evasão de sandbox. Em seguida, coleta informações do sistema e tenta elevar privilégios por meio da técnica FodHelper, conhecida por abusar de mecanismos do Windows relacionados a elevação sem apresentar a mesma fricção visual de fluxos tradicionais de UAC. O contexto não fornece um exploit de vulnerabilidade específico nem uma versão afetada do Windows, então a técnica deve ser tratada como abuso de configuração e comportamento do sistema, não como uma CVE.
Depois da tentativa de elevação, o backdoor remove o executável auxiliar usado no bypass, configura uma exclusão do Microsoft Defender para C:\ProgramData e executa o segundo script batch para substituir a tarefa agendada anterior por outra capaz de rodar com privilégios elevados. Essa troca é relevante para investigação porque pode deixar uma sequência temporal clara: criação inicial de tarefa, execução de PowerShell, manipulação de exclusões de antivírus, substituição da persistência e implantação de ferramenta RMM.
Na fase de acesso remoto, o malware instala o SimpleHelp, uma ferramenta legítima de monitoramento e gerenciamento remoto. O abuso de RMM dificulta a triagem porque parte do tráfego e dos binários pode parecer administrativo em ambientes que já usam ferramentas semelhantes. O backdoor também se comunica com um servidor de comando e controle protegido por um mecanismo de criptografia destinado a bloquear tráfego que não pareça vir de navegador, envia metadados do host periodicamente e executa código PowerShell devolvido pelo servidor.
A superfície primária são estáções Windows usadas por desenvolvedores, engenheiros e equipes técnicas que recebem documentos de projeto, requisitos, propostas ou materiais relacionados a blockchain. A escolha desse público aumenta o risco operacional porque essas máquinas frequentemente possuem chaves de acesso a repositórios, clientes de nuvem, carteiras de teste, ambientes de build, ferramentas de CI/CD, credenciais de registro de pacotes e permissões para publicar ou revisar código. O contexto não confirma roubo desses ativos, mas a posição do endpoint comprometido torna esse tipo de ambiente sensível.
A campanha também mostra uma preferência por infraestrutura e mecanismos que reduzem suspeita inicial: CDN do Discord para hospedagem de arquivos, documentos Word como isca, PowerShell para execução nativa no Windows, tarefas agendadas para persistência, exclusões no Microsoft Defender e RMM legítimo para controle contínuo. Em atividades relacionadas, o mesmo ecossistema de ameaças foi associado a links maliciosos disfarçados como URLs de publicidade do Google e da Naver, além de uso de sites WordPress indevidamente protegidos para hospedar arquivos e apoiar comando e controle.
Há ainda sobreposição com outras campanhas norte-coreanas recentes. Uma operação usou scripts JSE que imitavam documentos HWPX e iscas com tema governamental para criar túneis do Visual Studio Code como canal de acesso remoto. Outra distribuiu arquivos LNK disfarçados de PDF para acionar PowerShell com detecção de ambientes virtuais e entregar o RAT MoonPeak. Em 2025, ataques atribuídos a Andariel envolveram um alvo europeu do setor jurídico com entrega de TigerRAT e o comprometimento do mecanismo de atualização de um fornecedor sul-coreano de ERP para distribuir StarshellRAT, JelusRAT e GopherRAT a vítimas downstream. Esses eventos não devem ser fundidos como uma única intrusão, mas ajudam a mapear padrões de interesse em acesso remoto, engenharia social e ambientes corporativos sensíveis.
- Estáções Windows de desenvolvedores e equipes de engenharia que manipulam arquivos de requisitos, propostas ou materiais de projeto.
- Ambientes onde PowerShell, tarefas agendadas, ferramentas RMM e exclusões do Microsoft Defender podem ser abusados sem bloqueio imediato.
- Organizações de blockchain com operação no Japão, Austrália e Índia, além de entidades em regiões historicamente observadas em campanhas de Konni.
- Infraestrutura de entrega baseada em CDN do Discord, sites WordPress comprometidos ou mal protegidos e redirecionamentos de publicidade legítima, incluindo o domínio defangado
ad.doubleclick[.]netem atividade relacionada.
A investigação deve começar pelo endpoint, correlacionando abertura de arquivos ZIP, execução de atalhos LNK, criação de processos PowerShell filhos e extração de arquivos CAB. Em estáções de desenvolvimento, é importante tratar documentos de requisitos recebidos fora dos canais normais como evento de risco quando houver cadeia de execução associada. O documento Word exibido ao usuário pode ser apenas uma isca, então a telemetria de processo e de arquivos temporários é mais confiável do que a aparência do conteúdo aberto.
No Windows, sinais de persistência incluem criação ou substituição de tarefas agendadas próximas à execução de scripts batch, PowerShell iniciado por LNK, remoção de arquivos auxiliares logo após a execução e alterações em configurações de exclusão do Microsoft Defender. A presença de exclusão para C:\ProgramData deve ser verificada com cuidado, pois esse caminho é amplo o suficiente para esconder payloads ou artefatos de estágio. A análise também deve procurar execução de AutoIt em campanhas relacionadas com EndRAT, especialmente quando o script aparece disfarçado de PDF.
Na rede, o foco deve ficar em conexões incomuns de estáções de desenvolvimento para CDN de hospedagem de anexos, infraestrutura hospedada em WordPress e servidores que exigem comportamento semelhante ao de navegador antes de permitir comunicação. Para SimpleHelp, a equipe deve diferenciar uso corporativo autorizado de instalação inesperada, execução fora da ferramenta de distribuição oficial da empresa, criação próxima a eventos PowerShell suspeitos e comunicação persistente a destinos não documentados. Indicadores devem ser tratados em formato defangado e enriquecidos internamente antes de bloqueio amplo, para evitar interrupção de uso legítimo.
- Processo PowerShell iniciado por arquivo
LNKextraído de ZIP com tema de requisitos de projeto. - Extração de
CABseguida por criação de documento Word isca, scripts batch e backdoor PowerShell. - Criação inicial e posterior substituição de tarefa agendada, especialmente quando ocorre junto de tentativa de elevação de privilégio.
- Alteração de exclusões do Microsoft Defender envolvendo
C:\ProgramData. - Instalação ou execução inesperada do SimpleHelp em máquina de desenvolvedor.
- Conexões a CDN do Discord, sites WordPress não reconhecidos e infraestrutura que bloqueia tráfego não semelhante a navegador.
- Uso de URLs de redirecionamento de publicidade em campanhas relacionadas, com o domínio
ad.doubleclick[.]netcitado em formato defangado.
A resposta deve priorizar contenção de endpoints de desenvolvimento com sinais de execução da cadeia. Máquinas com criação suspeita de tarefas agendadas, exclusões amplas no Defender ou instalação inesperada de RMM devem ser isoladas da rede corporativa e preservadas para análise forense. Como o contexto indica execução remota de PowerShell retornado pelo servidor de comando e controle, a ausência de arquivos adicionais em disco não elimina comprometimento; logs de processo, PowerShell, agendador de tarefas, Defender e tráfego de rede precisam ser correlacionados.
A correção operacional envolve remover persistência, reverter exclusões de segurança, validar a origem do SimpleHelp, revisar contas usadas na estáção e rotacionar credenciais de desenvolvimento que possam ter sido acessadas no período de exposição. Isso inclui tokens de repositório, chaves de CI/CD, credenciais de nuvem, segredos de registros de pacotes e permissões de assinatura ou publicação. A rotação deve ser baseada no escopo real do endpoint afetado, evitando tanto subestimar o acesso quanto declarar vazamento sem evidência.
A prevenção deve reforçar controles contra arquivos de atalho e execução de scripts recebidos de fontes externas. Políticas de bloqueio ou alerta para LNK em arquivos ZIP, restrições de PowerShell, controle de aplicações, regras para criação de tarefas agendadas e auditoria de alterações no Defender reduzem a margem de execução. Em equipes de blockchain, canais de recebimento de propostas e requisitos devem ser separados de máquinas com acesso a segredos de produção, e estáções de desenvolvimento devem operar com privilégios mínimos e monitoramento de RMM não autorizado.
- Isolar endpoints com execução suspeita de
LNK, PowerShell, scripts batch, criação de tarefas agendadas ou instalação inesperada de SimpleHelp. - Reverter exclusões do Microsoft Defender não aprovadas, principalmente exclusões amplas para
C:\ProgramData. - Auditar e remover tarefas agendadas criadas ou substituídas durante a janela de comprometimento.
- Rotacionar credenciais e tokens acessíveis pela estáção afetada, incluindo repositórios, CI/CD, nuvem e registros de pacotes.
- Bloquear ou alertar abertura de
LNKdentro de ZIP recebido por canais externos e restringir execução de PowerShell não assinado quando viável. - Validar uso corporativo de RMM e alertar instalações fora do inventário aprovado.
- Revisar logs de rede para CDN do Discord, WordPress desconhecido e comunicação persistente com infraestrutura não documentada.
0 Comentários