Severokorejští kyberzločinci používají AI deepfake k odcizení kryptoměn

Nová taktika kyberútoků od skupiny spojené s RKS

Google‑specialisté odhalili činnost hackerové skupiny (UNC1069), pravděpodobně podřízené vládě Severní Koreje. Od roku 2018 používají umělou inteligenci k vytváření nových sad nástrojů a schémat sociálního inženýrství zaměřených na občany a zaměstnance kryptoměnových společností.

Jak vypadá útok
1. Vniknutí do účtu

Hackeři získají přístup k existujícímu účtu (obvykle na sociálních sítích nebo e‑mailu).

2. Zahájení videokonference

Přes tento účet posílají oběti odkaz na Zoom‑seanci.

3. Deepfake setkání

V rámci hovoru se objeví video s falešným tváří – například „generální ředitel jiné kryptové společnosti“. To je vytvořeno pomocí AI a vypadá natolik realisticky, že většina lidí fámu nepozná.

4. Postupné “servisování”

Deepfake uvádí technické potíže a žádá uživatele, aby provedl řadu akcí na svém počítači. V instrukcích jsou uvedeny škodlivé příkazy, které spouštějí backdoory a programy pro krádež dat.

5. Získání cenných materiálů

Po splnění pokynů získají útočníci přístup k důvěrným informacím a potenciálně mohou ukrást kryptoměnu.

Technologický arzenál
- Gemini (AI‑asistent) – používal se pro generování kódu, simulaci aktualizací softwaru a přípravu instrukcí.

- GPT‑4o od OpenAI – využívala skupina BlueNoroff k vylepšení obrázků, které přesvědčují uživatele o pravosti pozvání.

Google označil tuto techniku jako „sociální inženýrství s využitím AI“ a vyznačil sedm nových rodin škodlivého softwaru zapojených do útoku.

Cíle a následky
- Krádež kryptoměny – hlavní finanční motiv.

- Shromažďování osobních údajů – vytváří se databáze pro další kampaně sociálního inženýrství.

- Útoky na odvětví – cíle zahrnují vývojáře softwaru, venture firmy a jejich manažery.

Jedna z účtů spojených se skupinou byla po Google blokována poté, co útočníci použili Gemini k vývoji nástrojů pro průzkum.

Tímto UNC1069 ukazuje, jak moderní AI technologie umožňují hackerům vytvářet vysoce účinné a těžko rozpoznatelné útoky na cílové publikum v kryptoměnovém sektoru.