A Check Point Research revelou que o grupo de ameaça persistente avançada (APT) da Coreia do Norte, KONNI, tem como alvo desenvolvedores de blockchain no Japão, Austrália e Índia. Os hackers estão usando portas de entrada PowerShell geradas por IA.
De acordo com relatórios divulgados em 21 de janeiro de 2026, o ataque começa quando o KONNI usa o Discord para oferecer um link que solicita aos desenvolvedores que baixem um arquivo ZIP. Este arquivo contém elementos que iniciam um processo de infecção em múltiplas etapas no computador da vítima.
O arquivo ZIP inclui um atalho do Windows e um arquivo PDF aparentemente autêntico. O atalho do Windows inicia scripts que lançam um script PowerShell na memória, geram tarefas agendadas e descompactam outros arquivos. Este script então se conecta a servidores sob o controle dos atacantes, criando uma porta de entrada permanente no sistema comprometido.
A Check Point Research revela que a porta dos fundos do PowerShell possui recursos únicos ligados ao desenvolvimento de código de modelo de linguagem grande (LLM). Além disso, o script é conhecido por seu design modular, excelente documentação em inglês e marcadores educacionais.
Além disso, inclui um comentário que indica onde colocar uma identificação única do projeto (UUID). A cada 13 minutos, enquanto aguarda mais instruções dos atacantes, a porta dos fundos transmite informações do sistema para um servidor remoto usando este UUID para identificar a instância do projeto em cada dispositivo comprometido.
Desde pelo menos 2014, a KONNI tem estado ativa. Esforços anteriores visaram instituições governamentais e diplomáticas da Coreia do Sul, bem como organizações associadas à Península Coreana.
A atenção da organização mudou recentemente para a indústria de criptomoedas, visando especificamente desenvolvedores de blockchain que supervisionam a infraestrutura e o código para iniciativas que utilizam moedas digitais.