Nordkoreanische Cyberkriminelle setzen KI-generierte PowerShell-Backdoor ein

Nordkoreanische Cyberkriminelle haben es auf Entwickler mit Blockchain-Zugriff abgesehen. Mit Phishing-Attacken wollen sie diese zur Ausführung von Malware verleiten. Dabei soll Künstliche Intelligenz an der Programmierung der PowerShell-Backdoor mitgewirkt haben.

Das meldet das IT-Sicherheitsunternehmen Checkpoint in einer Analyse. Die kriminelle Vereinigung „Konni“ soll aus Nordkorea stammen oder mit dem Land verbandelt sein. Die Angriffsziele haben die Täter jedoch über ihren sonst üblichen Tätigkeitsbereich hinaus ausgeweitet – ursprünglich konzentrierten sie sich auf Südkorea, nun aber auf die ganze Asien-Pazifik-Region, einschließlich Australien, Indien und Japan.

Sie nehmen dabei Entwickler und Programmier-Teams in den Blick, insbesondere solche, die Zugriff auf mit Blockchain zusammenhängende Ressourcen und Infrastruktur haben. Die Köder-Dokumente sehen aus wie legitime Projektmaterialien und umfassen technische Details wie Architektur, Technik-Stacks und Entwicklungszeitpläne. Daraus leitet Checkpoint ab, dass die Angreifer die Entwicklungsumgebungen unterwandern und dadurch Zugang zu sensiblen Krypto-Assets sowie Infrastruktur, API-Zugangsdaten, Zugänge zu Wallets und schließlich Krypto-Besitztümer ergattern wollen.

KI zur Programmierung genutzt

Es gibt der Analyse zufolge starke Hinweise darauf, dass die Kriminellen sich von Künstlicher Intelligenz haben helfen lassen. Das PowerShell-Script mit der Backdoor weist demnach eine unüblich polierte Struktur auf. Sie fängt mit menschenlesbarer Dokumentation an, die die Script-Funktion erklärt: „This script ensures that only one instance of this UUID-based project runs at a time. It sends system info via HTTP GET every 13 minutes.“ Diese Ausführlichkeit der Dokumentation ist äußerst unüblich für PowerShell-Schadcode von APTs. Der Code ist zudem in klar definierte logische Sektionen eingeteilt, die jeweils eine spezifische Aufgabe erledigen, die eher modernen Konventionen der Softwareentwicklung entsprechen als spontaner Malware-Entwicklung.

Diese Indizien reichen noch nicht zur gesicherten KI-Zuordnung, jedoch soll ein Kommentar im Programmcode schließlich verräterisch sein: # <– your permanent project UUID. Diese Formulierung ist den IT-Forschern zufolge höchst charakteristisch für LLM-generierten Code, in dem das Modell den Menschen explizit anleitet, wie ein Platzhalterwert angepasst werden muss.

Im Artikel erklären die Checkpoint-Analysten noch detaillierter die Funktionen der Skripte und die Infektionsketten. Außerdem liefern sie eine Liste von Hinweisen auf eine Kompromittierung (Indicators of Compromise, IOCs).

(dmk)