Nordkorea-länkade hackare och deras metoder
Nordkorea-länkade hackare fortsätter att använda live-videosamtal, inklusive AI-genererade deepfakes, för att lura kryptovalutautvecklare och arbetare att installera skadlig programvara på sina enheter. I det senaste fallet, som avslöjades av BTC Prags medgrundare Martin Kuchař, använde angriparna ett komprometterat Telegram-konto och ett iscensatt videosamtal för att sprida malware som var maskerat som en ljudfix för Zoom.
Angreppets genomförande
Den ”högnivå hackingkampanj” verkar rikta in sig på Bitcoin- och kryptovalutanvändare, avslöjade Kuchař på torsdag på X. Angriparna kontaktar offret och sätter upp ett Zoom- eller Teams-samtal. Under samtalet använder de en AI-genererad video för att framstå som någon som offret känner. De påstår att det finns ett ljudproblem och ber offret att installera ett plugin eller en fil för att åtgärda det.
När det väl är installerat ger malware angriparna fullständig systemåtkomst, vilket gör att de kan stjäla Bitcoin, ta över Telegram-konton och använda dessa konton för att rikta in sig på andra. Detta kommer i takt med att AI-drivna impersonationsbedrägerier har drivit kryptorelaterade förluster till ett rekord på 17 miljarder dollar år 2025, med angripare som alltmer använder deepfake-video, röstkloning och falska identiteter för att bedra offer och få tillgång till medel, enligt data från blockchain-analysföretaget Chainalysis.
Teknik och metodik
Attacken, som beskrivs av Kuchař, matchar nära en teknik som först dokumenterades av cybersäkerhetsföretaget Huntress. De rapporterade i juli förra året att dessa angripare lurar en målkryptovalutarbetare till ett iscensatt Zoom-samtal efter första kontakten på Telegram, ofta med en falsk möteslänk som är värd på en spoofad Zoom-domän.
Under samtalet skulle angriparna påstå att det finns ett ljudproblem och instruera offret att installera vad som verkar vara en Zoom-relaterad fix, som faktiskt är ett skadligt AppleScript som initierar en flerstegs macOS-infektion. När skriptet körs inaktiverar det shellhistorik, kontrollerar eller installerar Rosetta 2 (ett översättningslager) på Apple Silicon-enheter och uppmanar användaren upprepade gånger om deras systemlösenord för att få förhöjda rättigheter.
Konsekvenser och kopplingar
Säkerhetsforskare på Huntress har med hög säkerhet kopplat intrånget till ett Nordkorea-länkat avancerat ihållande hot som spåras som TA444, även känt som BlueNoroff och av flera andra alias som verkar under paraplytermen Lazarus Group, en statsstödd grupp som fokuserar på kryptovalutastöld sedan åtminstone 2017.
När han tillfrågades om de operativa målen för dessa kampanjer och om de tror att det finns ett samband, sa Shān Zhang, informationssäkerhetschef på blockchain-säkerhetsföretaget Slowmist, till Decrypt att den senaste attacken mot Kuchař ”möjligen” är kopplad till bredare kampanjer från Lazarus Group.
David Liberman, medskapare av det decentraliserade AI-beräkningsnätverket Gonka, tillade att det finns tydlig återanvändning över kampanjer. ”Vi ser konsekvent riktning mot specifika plånböcker och användning av mycket liknande installationsskript,” sa han.
Liberman påpekade också att bilder och video ”kan inte längre behandlas som pålitligt bevis på äkthet” och att digitalt innehåll ”bör kryptografiskt signeras av sin skapare, och sådana signaturer bör kräva multifaktorautorisering.” Berättelser, i sammanhang som detta, har blivit ”en viktig signal att spåra och upptäcka” med tanke på hur dessa attacker ”förlitar sig på bekanta sociala mönster.”
Nordkoreas Lazarus Group är kopplad till kampanjer mot kryptoföretag, arbetare och utvecklare, som använder skräddarsydd malware och sofistikerad social ingenjörskonst för att stjäla digitala tillgångar och åtkomstuppgifter.
