Advarsel om Nordkoreanske Hackere og Deepfakes
Google’s sikkerhedsteam hos Mandiant har advaret om, at nordkoreanske hackere inkorporerer kunstigt intelligens-genererede deepfakes i falske videomøder som en del af stadig mere sofistikerede angreb mod kryptovaluta-virksomheder, ifølge en rapport offentliggjort mandag.
Angrebets Detaljer
Mandiant oplyser, at de for nylig har undersøgt en indtrængen hos et fintech-selskab, som de tilskriver UNC1069, også kendt som “CryptoCore”, en trussel aktør, der med høj sikkerhed er knyttet til Nordkorea. Angrebet anvendte en kompromitteret Telegram-konto, et spoofed Zoom-møde og en såkaldt ClickFix-teknik til at narre offeret til at køre ondsindede kommandoer.
Efterforskere fandt også beviser for, at AI-genereret video blev brugt til at bedrage målet under det falske møde. “Mandiant har observeret UNC1069 anvende disse teknikker til at målrette både virksomhedsenheder og enkeltpersoner inden for kryptovalutaindustrien, herunder softwarefirmaer og deres udviklere samt venturekapitalfirmaer og deres ansatte eller ledere,” sagde rapporten.
Stigende Kryptovaluta-tyverier
Advarslen kommer, da Nordkoreas kryptovaluta-tyverier fortsætter med at vokse i omfang. I midten af december sagde blockchain-analysefirmaet Chainalysis, at nordkoreanske hackere stjal $2,02 milliarder i kryptovaluta i 2025, en stigning på 51% fra året før. Det samlede beløb stjålet af DPRK-knyttede aktører ligger nu på cirka $6,75 milliarder, selvom antallet af angreb er faldet.
Ændringer i Angrebsmetoder
Fundene fremhæver et bredere skift i, hvordan statsforbundne cyberkriminelle opererer. I stedet for at stole på masse phishing-kampagner fokuserer CryptoCore og lignende grupper på meget skræddersyede angreb, der udnytter tillid i rutinemæssige digitale interaktioner, såsom kalenderinvitationer og videoopkald. På denne måde opnår Nordkorea større tyverier gennem færre, mere målrettede hændelser.
Angrebets Gennemførelse
Ifølge Mandiant begyndte angrebet, da offeret blev kontaktet på Telegram af en person, der så ud til at være en kendt kryptovaluta-udøver, hvis konto allerede var blevet kompromitteret. Efter at have opbygget rapport sendte angriberen et Calendly-link til et 30-minutters møde, der dirigerede offeret til et falsk Zoom-opkald, der blev afholdt på gruppens egen infrastruktur.
Under opkaldet rapporterede offeret, at de så, hvad der så ud til at være en deepfake-video af en velkendt crypto CEO. Da mødet begyndte, hævdede angriberne, at der var lydproblemer og instruerede offeret til at køre “fejlfinding”-kommandoer, en ClickFix-teknik, der i sidste ende udløste malware-infektionen.
Risikoen ved Deepfakes
Fraser Edwards, medstifter og CEO for det decentraliserede identitetsfirma cheqd, sagde, at angrebet afspejler et mønster, han ser gentagne gange mod personer, hvis job afhænger af fjernmøder og hurtig koordinering. “Effektiviteten af denne tilgang kommer fra, hvor lidt der skal se usædvanligt ud,” sagde Edwards.
Edwards advarede om, at risikoen vil stige, efterhånden som AI-agenter introduceres i daglig kommunikation og beslutningstagning. “Agenter kan sende beskeder, planlægge opkald og handle på vegne af brugere med maskinhastighed. Hvis disse systemer misbruges eller kompromitteres, kan deepfake-lyd eller video automatisk implementeres, hvilket gør efterligning fra en manuel indsats til en skalerbar proces,” sagde han.
Konklusion
Det er urealistisk at forvente, at de fleste brugere ved, hvordan man opdager en deepfake, sagde Edwards og tilføjede, at “svaret ikke er at bede brugerne om at være mere opmærksomme, men at bygge systemer, der beskytter dem som standard. Det betyder at forbedre, hvordan autenticitet signaleres og verificeres, så brugerne hurtigt kan forstå, om indholdet er ægte, syntetisk eller uverificeret uden at stole på instinkt, fortrolighed eller manuel undersøgelse.”
