Em 24 de janeiro, a empresa de segurança
Check Point
emitiu um alerta informando que o grupo de hackers norte-coreano Konni (também conhecido como Opal Sleet ou TA406), ativo há muitos anos, está utilizando malware desenvolvido com auxílio de inteligência artificial (IA) para lançar ataques direcionados contra desenvolvedores e engenheiros de blockchain na região Ásia-Pacífico.
Disfarce profundo: backdoor gerado por IA
Pesquisadores da Check Point
descobriram que, nesta cadeia de ataque, foi utilizado um backdoor em PowerShell que apresenta fortes características de ter sido gerado por LLMs (modelos de linguagem de grande porte). Diferentemente dos scripts tradicionais escritos manualmente, que costumam ser confusos, esse código malicioso possui uma estrutura extremamente limpa, modular e com comentários de documentação bem organizados.
A evidência mais clara está na presença de comentários como “# <– Seu UUID permanente do projeto” dentro do script. Segundo os pesquisadores, esse tipo de formulação é típico de tutoriais ou prompts de geração de código por IA, usados para orientar usuários humanos a personalizar campos de espaço reservado. Os hackers estão utilizando IA para aumentar significativamente tanto o nível de ofuscação quanto a eficiência no desenvolvimento de malware.
Caminho do ataque: foco em ativos de criptomoedas
O ataque começa com links de phishing hospedados no Discord. Quando a vítima clica e executa um arquivo de atalho malicioso (LNK), uma série de ações de infecção é iniciada:
Persistência furtiva: criação de uma tarefa agendada executada a cada hora, disfarçada como um item de inicialização do OneDrive.
Reconhecimento do ambiente: o malware verifica o hardware e a atividade do usuário para garantir que não esteja sendo executado em um ambiente de análise de segurança.
Roubo de ativos: o objetivo final é obter acesso à infraestrutura, credenciais de API e chaves privadas de carteiras digitais, permitindo o roubo de ativos em criptomoedas.
Segundo
BleepingComputer
amostras desse tipo de ataque já foram interceptadas no Japão, Austrália e Índia. Isso indica que o cibercrime entrou em uma nova fase “assistida por IA”, reforçando a necessidade de desenvolvedores redobrarem a atenção com links e documentos desconhecidos vindos de plataformas sociais.