Nordkorea-forbundne hackere bruger AI-genererede deepfakes
Nordkorea-forbundne hackere fortsætter med at anvende live videoopkald, herunder AI-genererede deepfakes, til at narre kryptoudviklere og -arbejdere til at installere ondsindet software på deres egne enheder. I den seneste hændelse, der blev afsløret af BTC Prague-medstifter Martin Kuchař, brugte angriberne en kompromitteret Telegram-konto og et iscenesat videoopkald til at presse malware, der var forklædt som en Zoom-lydrettelse.
Angrebsmetode og konsekvenser
Den “højtstående hackingkampagne” ser ud til at målrette mod Bitcoin og kryptovaluta-brugere, afslørede Kuchař torsdag på X. Angriberne kontakter offeret og opretter et Zoom- eller Teams-opkald. Under opkaldet bruger de en AI-genereret video til at fremstå som en person, som offeret kender. De hævder derefter, at der er et lydproblem og beder offeret om at installere et plugin eller en fil for at løse det.
Når det er installeret, giver malware angriberne fuld systemadgang, hvilket gør det muligt for dem at stjæle Bitcoin, overtage Telegram-konti og bruge disse konti til at målrette andre. Dette sker, mens AI-drevne impersonationsvinduer har presset kryptorelaterede tab til et rekordniveau på 17 milliarder dollars i 2025, ifølge data fra blockchain-analysefirmaet Chainalysis.
Teknikker og tidligere rapporter
Angrebet, som beskrevet af Kuchař, matcher tæt en teknik, der først blev dokumenteret af cybersikkerhedsfirmaet Huntress, som rapporterede i juli sidste år, at disse angribere lokker en målrettet kryptovalutaarbejder ind i et iscenesat Zoom-opkald efter første kontakt på Telegram.
Under opkaldet ville angriberne hævde, at der er et lydproblem og instruere offeret om at installere det, der ser ud til at være en Zoom-relateret løsning, som faktisk er et ondsindet AppleScript, der initierer en flertrins macOS-infektion. Når det er udført, deaktiverer scriptet shell-historik, tjekker for eller installerer Rosetta 2 (et oversættelseslag) på Apple Silicon-enheder og beder gentagne gange brugeren om deres systemadgangskode for at opnå forhøjede rettigheder.
Trusselens oprindelse og fremtidige implikationer
Sikkerhedsforskere hos Huntress har med høj sikkerhed tilskrevet indtrængen til en Nordkorea-forbundet avanceret vedholdende trussel, der spores som TA444, også kendt som BlueNoroff og af flere andre aliaser, der opererer under paraplybetegnelsen Lazarus Group. Denne statsstøttede gruppe har fokuseret på kryptovaluta-tyveri siden mindst 2017.
Da han blev spurgt om de operationelle mål for disse kampagner, sagde Shān Zhang, Chief Information Security Officer hos blockchain-sikkerhedsfirmaet Slowmist, at det seneste angreb på Kuchař “muligvis” er forbundet med bredere kampagner fra Lazarus Group.
David Liberman, medskaber af det decentrale AI-beregningsnetværk Gonka, tilføjede, at der er klar genbrug på tværs af kampagner, og at digitalt indhold “bør være kryptografisk signeret af sin skaber, og sådanne signaturer bør kræve multifaktorautorisering.”
Narrativer, i kontekster som denne, er blevet “et vigtigt signal at spore og opdage” givet hvordan disse angreb “afhænger af velkendte sociale mønstre.” Nordkoreas Lazarus Group er knyttet til kampagner mod kryptofirmaer, -arbejdere og -udviklere, der bruger skræddersyet malware og sofistikeret social engineering til at stjæle digitale aktiver og adgangsoplysninger.
