Advarsel om Nordkoreanske Hackere og AI-genererte Deepfakes
Googles sikkerhetsteam hos Mandiant har advart om at nordkoreanske hackere inkorporerer kunstige intelligens-genererte deepfakes i falske videomøter som en del av stadig mer sofistikerte angrep mot kryptoselskaper, ifølge en rapport som ble utgitt mandag. Mandiant opplyser at de nylig undersøkte et innbrudd hos et fintech-selskap som de tilskriver UNC1069, eller «CryptoCore», en trusselaktør som med høy sikkerhet er knyttet til Nord-Korea.
Angrepet benyttet en kompromittert Telegram-konto, et forfalsket Zoom-møte, og en såkalt ClickFix-teknikk for å lure offeret til å kjøre ondsinnede kommandoer. Etterforskere fant også bevis på at AI-generert video ble brukt for å bedra målet under det falske møtet.
«Mandiant har observert at UNC1069 bruker disse teknikkene for å målrette både selskaper og enkeltpersoner innen kryptovalutaindustrien, inkludert programvarefirmaer og deres utviklere, samt risikokapitalfirmaer og deres ansatte eller ledere,» sa rapporten.
Økning i Kryptovaluta-tyverier
Advarselen kommer ettersom Nord-Koreas kryptovaluta-tyverier fortsetter å vokse i omfang. I midten av desember sa blockchain-analysefirmaet Chainalysis at nordkoreanske hackere stjal 2,02 milliarder dollar i kryptovaluta i 2025, en økning på 51 % fra året før. Det totale beløpet stjålet av DPRK-knyttede aktører er nå omtrent 6,75 milliarder dollar, selv om antallet angrep har avtatt.
Funnene fremhever et bredere skifte i hvordan statsknyttede cyberkriminelle opererer. I stedet for å stole på masse phishing-kampanjer, fokuserer CryptoCore og lignende grupper på høyt tilpassede angrep som utnytter tillit i rutinemessige digitale interaksjoner, som kalenderinvitasjoner og videosamtaler.
Angrepsmetodikk
Ifølge Mandiant begynte angrepet da offeret ble kontaktet på Telegram av det som så ut til å være en kjent kryptovaluta-leder hvis konto allerede var kompromittert. Etter å ha bygget rapport, sendte angriperen en Calendly-lenke for et 30-minutters møte som dirigerte offeret til et falskt Zoom-anrop som ble holdt på gruppens egen infrastruktur.
Under samtalen rapporterte offeret at de så hva som så ut til å være en deepfake-video av en kjent kryptovaluta-CEO. Når møtet begynte, hevdet angriperne at det var lydproblemer og instruerte offeret til å kjøre «feilsøkings»-kommandoer, en ClickFix-teknikk som til slutt utløste malware-infeksjonen.
Rettsmedisinsk analyse identifiserte senere syv distinkte malware-familier på offerets system, utplassert i et åpenbart forsøk på å høste legitimasjon, nettleserdata og sesjonstokener for økonomisk tyveri og fremtidig utgi seg for å være noen andre.
Ekspertuttalelser
Fraser Edwards, medgründer og CEO av det desentraliserte identitetsselskapet cheqd, sa at angrepet reflekterer et mønster han ser gjentatte ganger mot personer hvis jobber avhenger av fjernmøter og rask koordinering.
«Effektiviteten av denne tilnærmingen kommer fra hvor lite som må se uvanlig ut,» sa Edwards. «Avsenderen er kjent. Møteformatet er rutinemessig. Det er ingen malware-vedlegg eller åpenbar utnyttelse. Tillit utnyttes før noen teknisk forsvar har sjansen til å gripe inn.»
Edwards sa at deepfake-video vanligvis introduseres på eskaleringspunkter, som live-anrop, hvor det å se et kjent ansikt kan overstyre tvil skapt av uventede forespørsel eller tekniske problemer.
«Å se det som ser ut til å være en ekte person på kamera er ofte nok til å overstyre tvil skapt av en uventet forespørsel eller teknisk problem. Målet er ikke langvarig interaksjon, men bare nok realisme til å flytte offeret til neste steg,» sa han.
Han la til at AI nå brukes til å støtte utgi seg for å være noen andre utenfor live-anrop. «Det brukes til å utarbeide meldinger, korrigere tonefall, og speile måten noen normalt kommuniserer med kolleger eller venner. Det gjør rutinemessige meldinger vanskeligere å stille spørsmål ved og reduserer sjansen for at en mottaker stopper lenge nok til å verifisere interaksjonen,» forklarte han.
Fremtidige Risikoer
Edwards advarte om at risikoen vil øke ettersom AI-agenter introduseres i hverdagskommunikasjon og beslutningstaking. «Agenter kan sende meldinger, planlegge samtaler, og handle på vegne av brukere med maskinhastighet. Hvis disse systemene misbrukes eller kompromitteres, kan deepfake-lyd eller video bli distribuert automatisk, og gjøre utgi seg for å være noen andre fra en manuell innsats til en skalerbar prosess,» sa han.
Det er urealistisk å forvente at de fleste brukere vet hvordan de skal oppdage en deepfake, sa Edwards, og la til at, «Svaret er ikke å be brukerne om å være mer oppmerksomme, men å bygge systemer som beskytter dem som standard. Det betyr å forbedre hvordan autentisitet signaliseres og verifiseres, slik at brukere raskt kan forstå om innholdet er ekte, syntetisk, eller uverifisert uten å stole på instinkt, kjennskap, eller manuell etterforskning.»
