قراصنة كوريا الشمالية يستخدمون الذكاء الاصطناعي لتطوير برمجيات خبيثة تستهدف المطورين وفرق الهندسة

قراصنة كوريا الشمالية يستغلون الذكاء الاصطناعي لتطوير أدوات هجومية جديدة

أطلق قراصنة تابعون لكوريا الشمالية حملة جديدة تستغل قدرات الذكاء الاصطناعي لتطوير برمجيات خبيثة، تستهدف المطورين وفرق الهندسة. تأتي هذه الخطوة لتكشف عن تسارع وتيرة تبني الجهات التهديدية لأدوات الذكاء الاصطناعي لزيادة سرعة التطوير وإخفاء آثار الهجمات.

ويتمثل التكتيك الجديد في استخدام نصوص برمجية مكتوبة بالذكاء الاصطناعي، لتسليم برمجية تجسس (backdoor) متطورة، تقوم بدمج محتويات المشاريع الحقيقية مع أوامر خبيثة. وبحسب تقارير حديثة، فإن المجموعة المعروفة باسم “KONNI” تقف وراء هذه الحملة، وتستهدف بشكل خاص فرق التطوير والهندسة العاملة في مجال مشاريع البلوك تشين والعملات الرقمية في منطقة آسيا والمحيط الهادئ، بما في ذلك دول مثل اليابان وأستراليا والهند.

يقوم المهاجمون بصياغة وثائق مفصلة تبدو كأنها مستندات رسمية لمتطلبات المشاريع، تتضمن وصفاً لروبوتات التداول، وأنظمة المصادقة، وخطط التسليم. ويتم إرسال هذه المستندات كملفات PDF تشكل طعماً لجذب الضحايا.

تهدف هذه المستندات إلى كسب ثقة الكوادر التقنية وإغوائهم بفتح ملفات مرفقة، والتي تبدأ بسلسلة هجمات خبيثة خفية. وقد حدد باحثون من شركة “Check Point” هذا النشاط كجزء من مجموعة “KONNI” المستمرة. وأشاروا إلى أن الحمولة الخبيثة هي برمجية تجسس مكتوبة بلغة PowerShell، تم توليدها بواسطة الذكاء الاصطناعي، وتتميز بتعليقات مستفيضة وبنية تنظيمية احترافية.

آلية هجمات KONNI المدعومة بالذكاء الاصطناعي

تتجاوز هذه البرمجية الخبيثة مجرد فتح باب للتحكم عن بعد، حيث تقوم بجمع معلومات عن الجهاز، والتحقق من وجود أدوات تصحيح أو تحليل، والتأكد من عدم تشغيل نسخ متعددة منها في نفس الوقت، مع الحفاظ على مظهر احترافي يشبه المطورين. بالنسبة للمنظمات المستهدفة، فإن المخاطر تتجاوز مجرد اختراق محطة عمل واحدة، فمن خلال استهداف المطورين الذين يمتلكون صلاحيات الوصول إلى المستودعات، ووحدات التحكم السحابية، ومفاتيح التوقيع، يمكن للمجموعة أن تتوسع من نقطة إصابة واحدة إلى أنظمة البناء الكاملة أو أنظمة الإنتاج.

آلية الإصابة وتكتيكات الثبات

تبدأ عملية الهجوم عندما يقوم الهدف بفتح ملف مضغوط (ZIP)، ثم النقر المزدوج على ملف اختصار (shortcut file) يقع بجوار المستند الذي يعمل كطعم. يقوم هذا الملف بتشغيل محمل (loader) مكتوب بلغة PowerShell، يقوم بدوره بإفلات مستند آخر كطعم وأرشيف مضغوط من نوع CAB (Cabinet file).

بعد ذلك، تقوم ملفات batch المستخرجة من أرشيف CAB بنقل البرمجية الخبيثة إلى مجلد مخفي ضمن “ProgramData”. كما تقوم بإنشاء مهمة مجدولة تحاكي عملية تشغيل خاصة بخدمة OneDrive. هذه المهمة تعمل كل ساعة، حيث تقوم بفك تشفير الحمولة الخبيثة الخاصة بـ PowerShell باستخدام مفتاح XOR بسيط، ثم تنفذها مباشرة في الذاكرة. هذا الأسلوب يجعل البرمجية الخبيثة غير مرئية كملف أثناء التشغيل، مما يعقد عملية الاستجابة للحوادث.

وتشير هذه التطورات إلى الحاجة الملحة لتعزيز تدابير الأمن السيبراني، خاصة فيما يتعلق بكشف التهديدات المتطورة التي تستغل التقنيات الحديثة مثل الذكاء الاصطناعي.