كشفت تقارير أمنية حديثة أن مجموعة القرصنة الكورية الشمالية المعروفة باسم Konni بدأت باستخدام أدوات الذكاء الاصطناعي لتوليد برمجيات خبيثة عبر PowerShell، تستهدف بشكل مباشر مطوري البلوك تشين وفِرق الهندسة التقنية. هذه الحملة، التي وُصفت بأنها من أخطر العمليات الأخيرة، لم تقتصر على كوريا الجنوبية أو روسيا وأوكرانيا كما كان معتاداً، بل امتدت لتشمل اليابان وأستراليا والهند، ما يعكس اتساع نطاق الاستهداف وتزايد جرأة المجموعة في اختراق بيئات جديدة.
المجموعة، التي تنشط منذ عام 2014، تحمل أسماء متعددة في تقارير أمنية مثل Earth Imp وOpal Sleet وTA406، وتُعرف بقدرتها على تطوير أدوات هجومية متقدمة وتغيير أساليبها باستمرار لتفادي الرصد.
أساليب الهجوم وتقنيات التمويه
اعتمدت الحملة الأخيرة على رسائل تصيّد موجهة (spear-phishing) تتخفى في صورة إشعارات مالية أو روابط إعلانية تبدو شرعية مرتبطة بمنصات مثل Google وNaver. هذه الرسائل تقود الضحايا إلى تحميل ملفات مضغوطة (ZIP) تحتوي على اختصارات (LNK) ووثائق وهمية، بينما تُطلق في الخلفية سلسلة من الأوامر عبر PowerShell لتثبيت باب خلفي (Backdoor) متطور.
البرمجية الخبيثة تمر بمراحل متعددة: بدءاً من تحميل مستندات إلهاء، مروراً باستخراج ملفات CAB تحتوي على سكربتات دفعية (Batch) وأدوات لتجاوز حماية حساب المستخدم (UAC)، وصولاً إلى تثبيت برمجية مراقبة شرعية مثل SimpleHelp لاستخدامها في الوصول المستمر عن بُعد.
الأخطر أن هذه البرمجية تنفذ آليات مضادة للتحليل وتفادي بيئات الفحص الافتراضية، وتقوم بتعطيل بعض إعدادات Microsoft Defender، ما يجعل اكتشافها أكثر صعوبة ويمنح المهاجمين قدرة على السيطرة الكاملة على الأجهزة المستهدفة.
دور الذكاء الاصطناعي في تطوير الهجمات
أشارت شركة Check Point إلى أن الباب الخلفي الذي استخدمته المجموعة يحمل مؤشرات واضحة على أنه صُمم بمساعدة أدوات ذكاء اصطناعي، إذ يتميز ببنية معيارية وتعليقات برمجية توحي باستخدام مولدات آلية. هذا التحول يعكس سعي المهاجمين إلى تسريع تطوير البرمجيات الخبيثة وتوحيد أسلوبها، مع الاستمرار في الاعتماد على أساليب تقليدية مثل الهندسة الاجتماعية والتصيّد.
الهدف لم يعد مجرد إصابة مستخدمين أفراد، بل التغلغل في بيئات التطوير نفسها، حيث يمكن للسيطرة على مشروع واحد أن تفتح الباب أمام الوصول إلى شبكات ومشاريع متعددة، ما يضاعف حجم الخطر ويهدد البنية التحتية الرقمية المرتبطة بالبلوك تشين.
خلفيات وسياق أوسع للهجمات الكورية الشمالية
تزامنت هذه الحملة مع اكتشاف حملات أخرى تقودها مجموعات مرتبطة بكوريا الشمالية، مثل استخدام ملفات JavaScript مشفرة للتنكر في هيئة مستندات حكومية، أو توزيع ملفات LNK مزيفة لإطلاق برمجيات خبيثة مثل MoonPeak. كما رُصدت هجمات نفذتها مجموعة Andariel عام 2025 ضد كيانات أوروبية في القطاع القانوني، إضافة إلى اختراق آلية تحديث برمجيات تخطيط موارد المؤسسات (ERP) في كوريا الجنوبية لنشر برمجيات جديدة مثل StarshellRAT وJelusRAT وGopherRAT.
هذه الهجمات المتنوعة تكشف عن مرونة عالية في الأهداف والوسائل، إذ تتراوح بين السعي لتحقيق مكاسب مالية مباشرة وبين جمع معلومات استراتيجية تخدم أولويات النظام الكوري الشمالي. شركات أمنية مثل WithSecure أكدت أن هذه الحملات ليست جديدة، بل امتداد لتاريخ طويل من استغلال سلاسل التوريد والبرمجيات الشرعية لنشر برمجيات خبيثة، ما يعكس قدرة هذه المجموعات على التكيف مع التغيرات العالمية في الأمن السيبراني.
