Nordkoreanska hackare använder AI-genererade deepfakes
Googles säkerhetsteam på Mandiant har varnat för att nordkoreanska hackare inkorporerar AI-genererade deepfakes i falska videomöten som en del av allt mer sofistikerade attacker mot kryptoföretag, enligt en rapport som släpptes i måndags. Mandiant uppgav att de nyligen undersökte ett intrång på ett fintech-företag som de tillskriver UNC1069, eller ”CryptoCore”, en hotaktör som med hög säkerhet kopplas till Nordkorea.
Attackens genomförande
Attacken använde ett komprometterat Telegram-konto, ett förfalskat Zoom-möte och en så kallad ClickFix-teknik för att lura offret att köra skadliga kommandon. Utredarna fann också bevis på att AI-genererad video användes för att bedra målet under det falska mötet.
”Mandiant har observerat att UNC1069 använder dessa tekniker för att rikta in sig på både företagsenheter och individer inom kryptovalutaindustrin, inklusive mjukvaruföretag och deras utvecklare, samt riskkapitalföretag och deras anställda eller chefer,” sade rapporten.
Ökande kryptovaluta-stölder
Varningen kommer i takt med att Nordkoreas kryptovaluta-stölder fortsätter att växa i omfattning. I mitten av december sa blockchain-analysföretaget Chainalysis att nordkoreanska hackare stal 2,02 miljarder dollar i kryptovaluta under 2025, en ökning med 51 % från året innan. Det totala beloppet som stulits av DPRK-kopplade aktörer uppgår nu till ungefär 6,75 miljarder dollar, även om antalet attacker har minskat.
Förändrade angreppssätt
Resultaten belyser en bredare förändring i hur statligt kopplade cyberkriminella agerar. Istället för att förlita sig på massphishingkampanjer fokuserar CryptoCore och liknande grupper på mycket skräddarsydda attacker som utnyttjar förtroende i rutinmässiga digitala interaktioner, såsom kalenderinbjudningar och videosamtal. På så sätt uppnår Nordkorea större stölder genom färre, mer riktade incidenter.
Detaljer om attacken
Enligt Mandiant började attacken när offret kontaktades på Telegram av vad som verkade vara en känd kryptovaluta-executive vars konto redan hade blivit komprometterat. Efter att ha byggt upp en relation skickade angriparen en Calendly-länk för ett 30-minutersmöte som ledde offret till ett falskt Zoom-samtal som hölls på gruppens egen infrastruktur.
Under samtalet rapporterade offret att de såg vad som verkade vara en deepfake-video av en välkänd kryptovaluta-VD. När mötet började påstod angriparna att det fanns ljudproblem och instruerade offret att köra ”felsöknings”-kommandon, en ClickFix-teknik som slutligen utlöste malware-infektionen.
Rättsmedicinsk analys
Rättsmedicinsk analys identifierade senare sju distinkta malware-familjer på offrets system, som användes i ett uppenbart försök att samla in autentiseringsuppgifter, webbläsardata och sessionstokens för finansiell stöld och framtida impersonation.
Fraser Edwards, medgrundare och VD för det decentraliserade identitetsföretaget cheqd, sa att attacken återspeglar ett mönster han ser upprepade gånger mot personer vars jobb beror på distansmöten och snabb samordning.
Effektiviteten i angreppssättet
”Effektiviteten i detta tillvägagångssätt kommer från hur lite som behöver se ovanligt ut,” sa Edwards. ”Avsändaren är bekant. Mötesformatet är rutinmässigt. Det finns ingen malware-bilaga eller uppenbar exploatering. Förtroende utnyttjas innan någon teknisk försvar har en chans att ingripa.”
Edwards sa att deepfake-video vanligtvis introduceras vid eskalationspunkter, såsom live-samtal, där att se ett bekant ansikte kan övervinna tvivel som skapats av oväntade förfrågningar eller tekniska problem.
”Att se vad som verkar vara en verklig person på kameran är ofta tillräckligt för att övervinna tvivel som skapats av en oväntad förfrågan eller tekniskt problem. Målet är inte långvarig interaktion, utan bara tillräcklig realism för att flytta offret till nästa steg,” sa han.
Framtida risker
Han tillade att AI nu används för att stödja impersonation utanför live-samtal. ”Det används för att utarbeta meddelanden, korrigera tonfall och spegla hur någon normalt kommunicerar med kollegor eller vänner. Det gör rutinmässiga meddelanden svårare att ifrågasätta och minskar chansen att en mottagare pausar tillräckligt länge för att verifiera interaktionen,” förklarade han.
Edwards varnade för att risken kommer att öka när AI-agenter introduceras i vardaglig kommunikation och beslutsfattande. ”Agenter kan skicka meddelanden, schemalägga samtal och agera på uppdrag av användare i maskinhastighet. Om dessa system missbrukas eller komprometteras kan deepfake-ljud eller video automatiskt distribueras, vilket gör impersonation från en manuell insats till en skalbar process,” sa han.
Det är orealistiskt att förvänta sig att de flesta användare vet hur man upptäcker en deepfake, sa Edwards och tillade att, ”Svaret är inte att be användare att vara mer uppmärksamma, utan att bygga system som skyddar dem som standard. Det innebär att förbättra hur äkthet signaleras och verifieras, så att användare snabbt kan förstå om innehållet är verkligt, syntetiskt eller overifierat utan att förlita sig på instinkt, bekantskap eller manuell utredning.”
