Кибербезопасники Google из подразделения Mandiant раскрыли новую тактику северокорейских хакеров, которые используют искусственный интеллект для создания дипфейков и организации поддельных видеовстреч с целью хищения криптовалют. Группа, известная как UNC1069 или "CryptoCore", с высокой степенью уверенности связывается с КНДР и нацелена на всю экосистему цифровых активов: от софтверных компаний и разработчиков до венчурных фондов и их руководителей.
Атака начинается с компрометации аккаунта в Telegram, принадлежащего, как правило, известному исполнительному директору в криптосфере. После установления контакта жертве отправляется ссылка Calendly на 30-минутную встречу, которая ведет на поддельный Zoom-колл, размещенный на инфраструктуре злоумышленников. Во время звонка жертва видит дипфейк-видео, изображающее известного CEO. Атакующие имитируют технические проблемы со звуком и просят запустить «команды для устранения неполадок» (техника ClickFix), что в итоге приводит к заражению системы вредоносным ПО.
Форензик-анализ выявил на системе жертвы семь различных семейств вредоносных программ, развернутых для сбора учетных данных, данных браузера и токенов сессий с целью финансовой кражи и будущего impersonation. По данным Chainalysis, хакеры, связанные с КНДР, похитили в 2025 году криптовалют на сумму $2,02 млрд, что на 51% больше, чем годом ранее. Общая сумма украденного с их участием оценивается примерно в $6,75 млрд.
Эксперты отмечают сдвиг в тактике государственных хакеров: от массовых фишинговых рассылок к высокотаргетированным атакам, эксплуатирующим доверие к рутинным цифровым взаимодействиям, таким как приглашения в календарь и видеозвонки. Фрейзер Эдвардс, CEO компании cheqd, специализирующейся на децентрализованной идентичности, подчеркивает, что эффективность этого подхода заключается в его обыденности: отправитель знаком, формат встречи рутинный, нет явного вредоносного вложения. «Доверие используется до того, как какие-либо технические средства защиты получат шанс вмешаться», — заявил он.
Риски будут только возрастать с внедрением ИИ-агентов в повседневную коммуникацию, что может превратить имперсонацию из ручного труда в масштабируемый процесс. Эдвардс считает нереалистичным ожидать, что обычные пользователи смогут распознавать дипфейки, и призывает к созданию систем, которые по умолчанию защищают пользователей, улучшая способы сигнализации и проверки подлинности.
