Ciberdelincuentes norcoreanos están apuntando a desarrolladores con acceso a tecnología blockchain. Su objetivo es engañarlos para que ejecuten malware a través de ataques de phishing. Se cree que la Inteligencia Artificial estuvo involucrada en la programación de la puerta trasera (backdoor) de PowerShell.
La empresa de seguridad informática Checkpoint lo ha revelado en un análisis. La organización criminal «Konni» se cree que tiene su origen en Corea del Norte o está afiliada al país. Sin embargo, los atacantes han ampliado sus objetivos más allá de su ámbito de actividad habitual: originalmente se centraban en Corea del Sur, pero ahora se dirigen a toda la región de Asia-Pacífico, incluyendo Australia, India y Japón.
Están apuntando a desarrolladores y equipos de programación, especialmente aquellos con acceso a recursos e infraestructura relacionados con blockchain. Los documentos de señuelo parecen materiales legítimos del proyecto e incluyen detalles técnicos como la arquitectura, las pilas tecnológicas y los cronogramas de desarrollo. A partir de esto, Checkpoint infiere que los atacantes buscan infiltrarse en entornos de desarrollo y, por lo tanto, obtener acceso a activos criptográficos sensibles, infraestructura, credenciales de API, acceso a billeteras y, en última instancia, a las tenencias de criptomonedas.
IA utilizada para la programación
Según el análisis, existen fuertes indicios de que los delincuentes han contado con la ayuda de la Inteligencia Artificial. El script de PowerShell con la puerta trasera supuestamente tiene una estructura inusualmente pulida. Comienza con documentación legible por humanos que explica la función del script: «Este script asegura que solo una instancia de este proyecto basado en UUID se ejecute a la vez. Envía información del sistema a través de HTTP GET cada 13 minutos». Este nivel de detalle en la documentación es muy inusual para el malware de PowerShell proveniente de APT (Amenazas Persistentes Avanzadas). El código también está dividido en secciones lógicas claramente definidas, cada una de las cuales realiza una tarea específica, lo que se alinea más con las convenciones modernas de desarrollo de software que con el desarrollo espontáneo de malware.
Estas indicaciones no son suficientes para una atribución definitiva a la IA, pero un comentario en el código del programa es revelador: # . Según los investigadores de TI, esta fraseología es muy característica del código generado por LLM (Modelos de Lenguaje Grandes), donde el modelo guía explícitamente al humano sobre cómo ajustar un valor de marcador de posición.
En el artículo, los analistas de Checkpoint explican las funciones de los scripts y las cadenas de infección en mayor detalle. También proporcionan una lista de Indicadores de Compromiso (IOC).
(dmk)