Koreańscy cyberprzestępcy z Korei Północnej wykorzystują AI-deepfake do kradzieży kryptowalut

Nowa taktyka cyberataków od grupy powiązanej z DPRK

Specjaliści Google ujawnili działanie grupy hakerskiej (UNC1069), prawdopodobnie kontrolowanej przez władze Korei Północnej. Od 2018 roku wykorzystują sztuczną inteligencję do tworzenia nowych zestawów narzędzi i schematów inżynierii społecznej skierowanych przeciwko obywatelom i pracownikom firm kryptowalutowych.

Jak wygląda atak
1. Włamanie się na konto

Hakerzy uzyskują dostęp do istniejącego konta (zwykle w mediach społecznościowych lub poczcie).

2. Uruchomienie wideokonferencji

Poprzez to konto wysyłają ofierze link do sesji Zoom.

3. Spotkanie deepfake

W trakcie połączenia pojawia się wideo z podszywanym twarzą – np. „dyrektor generalny innej firmy kryptowalutowej”. Tworzone jest przy pomocy SI i wygląda tak realistycznie, że większość ludzi nie zauważy oszustwa.

4. Krok po kroku „obsługa”

Deepfake zgłasza problemy techniczne i prosi użytkownika o wykonanie szeregu działań na swoim komputerze. W instrukcjach znajdują się złośliwe polecenia, które uruchamiają tylnie drzwi i programy do kradzieży danych.

5. Uzyskanie cennych materiałów

Po wykonaniu instrukcji atakujący uzyskują dostęp do poufnych informacji i potencjalnie mogą ukraść kryptowalutę.

Technologiczny arsenał
- Gemini (asystent SI) – używany do generowania kodu, symulacji aktualizacji oprogramowania oraz przygotowywania instrukcji.

- GPT‑4o od OpenAI – stosowany przez grupę BlueNoroff do ulepszania obrazów, które przekonują użytkowników o autentyczności zaproszenia.

Google nazwał tę technikę „inżynierią społeczną z wykorzystaniem SI” i wyróżnił siedem nowych rodzin złośliwego oprogramowania wchodzących w atak.

Cele i konsekwencje
- Kradzież kryptowaluty – główny motyw finansowy.

- Zbieranie danych osobowych – tworzy bazę do dalszych kampanii inżynierii społecznej.

- Ataki na branżę – cele obejmują deweloperów oprogramowania, firmy venture capital i ich liderów.

Jedno z kont powiązanych z grupą zostało zablokowane przez Google po tym, jak atakujący użyli Gemini do opracowania narzędzi wywiadowczych.

W ten sposób UNC1069 demonstruje, jak współczesne technologie SI pozwalają hakerom tworzyć wysokoefektywne i trudne do odróżnienia ataki na docelowe grupy w sektorze kryptowalutowym.