文章总结： CheckPoint报告指出，与曹县关联的KONNI组织利用AI生成PowerShell后门，针对区块链及加密货币开发者发起攻击。该组织通过伪装成合法项目文档进行钓鱼，目标转向高价值数字资产与基础设施。此攻击表明AI技术已从实验走向实战，且其活动范围已扩展至亚太多国。 综合评分： 83 文章分类： 威胁情报,恶意软件,AI安全,区块链安全,社会工程学

CheckPoint报告：曹县Konni组织利用人工智能技术攻击开发者

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月23日 09:01 湖北

导读

Check Point 正在追踪一起与 KONNI 有关的活跃网络钓鱼活动。KONNI 是一个与曹县有关联的威胁组织，至少从 2014 年起就十分活跃。以往，KONNI 主要针对韩国的外交、学术和政府相关目标，并利用地缘政治主题作为钓鱼诱饵。此次最新活动标志着其策略发生了明显转变。

在当前的攻击行动中，KONNI 将目标锁定在软件开发人员和工程团队，特别是那些参与区块链和加密货币项目的人员。诱饵的设计旨在伪装成合法的项目文档，这表明其目标是那些能够接触到重要技术基础设施的个人，而非传统的政治目标。

此次攻击活动之所以引人注目，主要有两个原因：一是其地理范围扩大，迹象表明其活动遍及亚太地区，包括日本、澳大利亚和印度；二是使用了人工智能生成的 PowerShell 后门。

该活动证明人工智能在网络攻击链中已不再是实验性质，而是实际应用。

KONNI是一个长期活跃的网络间谍组织，以其针对性极强的网络钓鱼攻击而闻名，这些攻击与曹县的情报目标高度契合。多年来，其行动遵循着可预测的模式，主要依靠围绕朝鲜半岛事件设计的恶意文件。

此次营销活动标志着目标受众和覆盖范围的转变。KONNI不再优先考虑韩国的政治或外交机构，而是将目标锁定在与区块链和加密货币项目相关的开发者和工程团队，其活动范围也超越了传统的地域限制。

在此次行动中，该团伙使用精心设计的钓鱼诱饵，这些诱饵与合法的软件项目资料极为相似。其意图似乎是在开发环境中站稳脚跟，从而获取基础设施、凭证和数字资产，进而对下游系统造成更广泛的攻击。

与 KONNI 以往针对政治受众的攻击不同，此次攻击活动依赖于针对技术受众的社会工程学。诱饵模仿真实的软件项目提案，包括结构化的需求、技术概述和开发里程碑——这些格式对开发人员来说显得常规且可信。

攻击者通过融入正常的协作工作流程，降低用户的怀疑度，提高用户的参与度。攻破单个开发人员的账户，即可间接访问高价值资产，例如云基础设施、源代码库、API 和区块链相关凭证。

这种以获取信息为导向的战略反映了与曹县有关的威胁组织中一种更广泛的趋势，即他们越来越重视技术生态系统和数字资产，而不是传统的间谍目标。

此次攻击活动的关键在于部署了人工智能生成的 PowerShell 后门，这表明人工智能正在加速恶意软件的开发和部署。

详细技术报告：

《KONNI采用人工智能技术生成PowerShell后门》

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/

新闻链接：

https://blog.checkpoint.com/research/ai-powered-north-korean-konni-malware-targets-developers/

今日安全资讯速递

APT事件

Advanced Persistent Threat

Check Point：VoidLink代表了人工智能恶意软件的未来

VoidLink Represents the Future of AI-Developed Malware: Check Point

Check Point：曹县Konni恶意软件利用人工智能技术攻击开发者

https://blog.checkpoint.com/research/ai-powered-north-korean-konni-malware-targets-developers/

与朝鲜有关联的黑客通过恶意 VS Code 项目攻击开发者

https://thehackernews.com/2026/01/north-korea-linked-hackers-target.html

英国政府警告称，与俄罗斯有关联的黑客组织仍在对其关键基础设施发动DDoS攻击

UK NCSC warns of Russia-linked hacktivists DDoS attacks

一般威胁事件

General Threat Incidents

新型 Osiris 勒索软件出现，利用 POORTRY 驱动程序发起 BYOVD 攻击

https://thehackernews.com/2026/01/new-osiris-ransomware-emerges-as-new.html

欧洲航天局证实发生网络安全事件，黑客声称窃取了200GB数据

https://www.cysecurity.news/2026/01/esa-confirms-cyber-breach-after-hacker.html

服装和健身数据公司 Under Armour 表示，该公司发生数据泄露事件

Under Armour says it’s ‘aware’ of data breach claims after 72M customer records were posted online

RealHomes CRM插件漏洞影响3万个WordPress网站

https://www.infosecurity-magazine.com/news/realhomes-crm-plugin-flaw/

伪装成 Notepad++ 的恶意软件利用 Windows 资源管理器进程劫持系统

Proxyware Malware Disguised as Notepad++ Tool Leverages Windows Explorer Process to Hijack Systems

黑客利用LinkedIn私信和PDF工具部署木马程序

Hackers Are Using LinkedIn DMs and PDF Tools to Deploy Trojans

恶意 PyPI 软件包冒充 SymPy，在 Linux 主机上部署 XMRig 挖矿程序

https://thehackernews.com/2026/01/malicious-pypi-package-impersonates.html

新型多阶段Windows恶意软件可禁用微软Defender

New Multi-Stage Windows Malware Disables Microsoft Defender, Deploys Malicious Payloads

黑客劫持 Snap 域名，毒害桌面和服务器 Linux 软件包

Hackers Hijacking Snap Domains to Posion Linux Software Packages for Desktops and Servers

漏洞事件

Vulnerability Incidents

GNU InetUtils telnetd 存在超过11年的严重漏洞，攻击者可绕过登录并获得 root 权限

https://thehackernews.com/2026/01/critical-gnu-inetutils-telnetd-flaw.html

NVIDIA CUDA 工具包漏洞允许命令注入和任意代码执行

NVIDIA CUDA Toolkit Flaw Allows Command Injection, Arbitrary Code Execution

Vivotek 严重漏洞可实现远程任意代码执行

Critical Vivotek Flaw Enables Remote Arbitrary Code Execution

FortiGate防火墙遭自动化漏洞攻击，配置数据被窃取

FortiGate Firewalls Hacked in Automated Attacks to Steal Configuration Data

Fortinet SSO漏洞已被积极利用，用于入侵防火墙并获取管理员权限

Fortinet SSO Vulnerability Actively Exploited to Hack Firewalls and Gain Admin Access

Zoom 和 GitLab 修复了远程代码执行、拒绝服务攻击和双因素身份验证绕过漏洞

Zoom and GitLab Patch RCE, DoS, and 2FA Bypass Vulnerabilities

Cisco Unified Communications 远程代码执行0day漏洞已被积极利用以获取 Root Shell 访问权限

Cisco Unified Communications Zero-Day RCE Flaw Actively Exploited For Root Shell Access

Cisco 修复了 Unified CM 和 Webex 中已被积极利用的0day漏洞 CVE-2026-20045

https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html

Chainlit AI 的关键漏洞使黑客能够控制云环境

Critical Chainlit AI Vulnerabilities Let Hackers Gain Control Over Cloud Environments

Node.js 二进制解析器库存在严重漏洞，允许恶意代码注入

Critical Vulnerability in Binary-Parser Library for Node.js Allows Malicious Code injection

BIND 9漏洞允许攻击者通过发送恶意记录使服务器崩溃

BIND 9 Vulnerability Allow Attackers to Crash Server by Sending Malicious Records

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《CheckPoint报告：曹县Konni组织利用人工智能技术攻击开发者》