{"id":23964,"date":"2026-02-06T08:00:00","date_gmt":"2026-02-06T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23964"},"modified":"2026-01-29T16:12:11","modified_gmt":"2026-01-29T19:12:11","slug":"hackers-norte-coreanos-usando-ia-para-criar-backdoors","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2026\/02\/exploits\/hackers-norte-coreanos-usando-ia-para-criar-backdoors\/","title":{"rendered":"Hackers norte-coreanos usando IA para criar backdoors"},"content":{"rendered":"\n

Como hackers norte-coreanos est\u00e3o usando IA para criar backdoors em PowerShell e alvejar desenvolvedores<\/strong><\/p>\n

Nos \u00faltimos meses, observamos uma evolu\u00e7\u00e3o marcante nas t\u00e1ticas de agentes de amea\u00e7a avan\u00e7ada, em especial aqueles ligados \u00e0 Coreia do Norte. Grupos como Konni<\/strong>, conhecidos por ataques com motiva\u00e7\u00e3o pol\u00edtica e econ\u00f4mica, v\u00eam integrando tecnologias de intelig\u00eancia artificial (IA)<\/strong> na cria\u00e7\u00e3o de malware sofisticado \u2014 um movimento que marca uma nova fase na automa\u00e7\u00e3o e padroniza\u00e7\u00e3o de amea\u00e7as cibern\u00e9ticas. Uma das campanhas mais recentes envolve um backdoor em PowerShell gerado com o aux\u00edlio de IA<\/strong>, espalhado por meio de campanhas de spear-phishing visando desenvolvedores de blockchain e equipes de engenharia.<\/p>\n

\u00a0<\/p>\n

Konni: Um perfil de amea\u00e7a emergente<\/strong><\/p>\n

O grupo hacker Konni<\/strong>, tamb\u00e9m referido por pesquisadores como Opal Sleet<\/strong>, TA406<\/strong> ou ligado ao cluster APT37, opera desde pelo menos 2014 e tem hist\u00f3rico de ataques direcionados a entidades governamentais, tecnol\u00f3gicas e setores de infraestrutura cr\u00edtica. Tradicionalmente, esses atacantes empregavam t\u00e9cnicas cl\u00e1ssicas de phishing e malware, mas suas campanhas mais recentes demonstram uma integra\u00e7\u00e3o cada vez maior de ferramentas baseadas em IA dentro de seu repert\u00f3rio ofensivo.<\/p>\n

Essa mudan\u00e7a n\u00e3o \u00e9 apenas um truque t\u00e9cnico; ela representa uma expans\u00e3o de capacidades<\/strong> que permite ao grupo acelerar o desenvolvimento de backdoors e torn\u00e1-los mais adapt\u00e1veis, robustos e dif\u00edceis de detectar por ferramentas convencionais de seguran\u00e7a.<\/p>\n

\u00a0<\/p>\n

Anatomia da campanha de backdoor em PowerShell<\/strong><\/p>\n

1. Vetor de acesso inicial<\/strong><\/p>\n

A porta de entrada para essas infec\u00e7\u00f5es costuma ser uma campanha de spear-phishing altamente segmentada<\/strong>. Os atacantes enviam e-mails com mensagens que simulam notifica\u00e7\u00f5es financeiras, confirma\u00e7\u00f5es de transa\u00e7\u00f5es ou comunica\u00e7\u00f5es profissionais, todos cuidadosamente camuflados para escapar de filtros de e-mail \u2014 inclusive por meio da explora\u00e7\u00e3o de redirecionamentos leg\u00edtimos associados a servi\u00e7os de publicidade e rastreamento.<\/p>\n

O objetivo \u00e9 fazer com que a v\u00edtima baixe um arquivo ZIP malicioso hospedado em dom\u00ednios aparentemente confi\u00e1veis. Ao abrir o arquivo, o usu\u00e1rio encontra um atalho do Windows (.LNK) que, quando executado, aciona um carregador em PowerShell incorporado<\/strong>.<\/p>\n

\u00a0<\/p>\n

2. A armadilha do script e a distra\u00e7\u00e3o<\/strong><\/p>\n

O atalho executa um script AutoIt que mimetiza um documento PDF inofensivo e prepara a instala\u00e7\u00e3o do backdoor. O script PowerShell aparece ofuscado e \u00e9 respons\u00e1vel por:<\/p>\n