A dél-koreai kibertörők AI‑dipfekeket használnak a kriptovaluta lopására

Új kiberfenyegetés taktika egy Dél-Koreával összefüggő csoporttól

A Google szakértői felfedtek egy hackercsapat (UNC1069) működését, amely valószínűleg a Dél-Korea hatalmának ellenőrzése alatt áll. 2018 óta mesterséges intelligenciát használnak új eszköztárak és szociális mérnöki séma létrehozására, amelyek célja polgárok és kriptovaluta vállalatok alkalmazottai.

Hogyan néz ki a támadás
1. Fiók feltörése
A hackerek hozzáférést szereznek egy meglévő fiókhoz (általában közösségi média vagy e-mail).

2. Videókonferencia indítása
Ezen a felvételen keresztül küldik el az áldozatnak a Zoom‑hívás linkjét.

3. Deepfake találkozó
A híváson belül megjelenik egy videó hamis arcokkal – például „egy másik kripto vállalat vezérigazgatója”. Az AI segítségével készül, és olyan valószerű, hogy a legtöbb ember nem veszi észre a hamisítást.

4. Lépésről lépésre “szolgálat”
A deepfake jelenti a technikai problémákat, és megkéri a felhasználót, hogy végezzen el egy sor műveletet a saját számítógépén. Az utasításokban rosszindulatú parancsok vannak, amelyek backdoorokat és adathalász programokat indítanak.

5. Értékes anyag megszerzése
A feladat végrehajtása után a támadók hozzáférést szereznek az érzékeny információkhoz, és potenciálisan kriptovalutát lophatnak.

Technológiai felszerelés
- Gemini (AI asszisztens) – kód generálására, szoftverfrissítések szimulálására és utasítások előkészítésére használták.
- GPT‑4o az OpenAI-tól – a BlueNoroff csoport használta a képek javításához, amelyek meggyőzik a felhasználókat a meghívó hitelességéről.

A Google ezt a technikát „AI-alapú szociális mérnökségnek” nevezte és hét új rosszindulatú szoftvercsaládot azonosított, amelyek részei a támadásnak.

Célok és következmények
- Kriptovaluta lopás – a fő pénzügyi motiváció.
- Személyes adatok gyűjtése – adatbázis létrehozása további szociális mérnöki kampányokhoz.
- Iparági támadások – célcsoportok közé tartoznak szoftverfejlesztők, kockázati tőkések és vezetőik.

Az UNC1069 egyik fiókja a Google által blokkolva lett, miután a támadók Gemini-t használtak felderítő eszközök fejlesztésére.

Így az UNC1069 bemutatja, hogyan teszi lehetővé a modern AI technológia a hackerek számára, hogy hatékony és nehezen felismerhető támadásokat hozzanak létre célzott közönségekhez a kriptovaluta területen.