Севернокорейските киберпрестъпници използват AI дипфейкове за открадване на криптовалута

Нова тактика кибератака от група, свързана с КНДР

Google‑специалистите разкриха работата на хакерската групировка (UNC1069), предположително под контрол на властите на Северна Корея. От 2018 г. те използват изкуствен интелект за създаване на нови набори от инструменти и схеми за социално инженерство, насочени към граждани и служители на криптовалутни компании.

Как изглежда атаката
1. Пробив на акаунт

Хакерите получават достъп до съществуващ акаунт (обикновено в социалните мрежи или по имейл).

2. Стартиране на видеоконференция

Чрез този акаунт изпращат на жертвата линк към Zoom‑сесия.

3. Дипфейк среща

В рамките на разговора се появява видео с фалшиво лице – например „генерален директор на друга крипто‑компания“. Това се създава чрез ИИ и изглежда толкова реалистично, че повечето хора няма да забележат измамата.

4. Пошагово “обслужване”

Дипфейкът съобщава за технически проблеми и моли потребителя да изпълни серия от действия на своя компютър. Инструкциите съдържат зловредни команди, които стартират бекдори и програми за кражба на данни.

5. Получаване на ценен материал

След изпълнението на инструкциите атакуващите получават достъп до конфиденциална информация и потенциално могат да открадна криптовалута.

Технологичен арсенал
- Gemini (ИИ‑помощник) – използван за генериране на код, имитация на актуализации на софтуер и подготовка на инструкции.

- GPT‑4o от OpenAI – прилаган от групата BlueNoroff за подобряване на изображенията, които убедяват потребителите в автентичността на поканата.

Google назвал тази техника „социално инженерство с използване на ИИ“ и посочил седем нови семейства зловреден софтуер, включени в атаката.

Цели и последствия
- Кражба на криптовалута – основният финансов мотив.

- Събиране на лични данни – създава база за бъдещи кампании по социално инженерство.

- Атаки върху индустрията – целите включват разработчици на софтуер, венчурни фирми и техните ръководители.

Един от акаунтите, свързан с групировката, беше блокиран от Google след като атакуващите използваха Gemini за разработка на инструменти за разузнаване.

Така UNC1069 демонстрира как съвременните технологии ИИ позволяват хакерите да създават високо ефективни и трудноразпознаваеми атаки към целевата аудитория в криптовалутната сфера.