Attacchi informatici della Corea del Nord nel settore crypto
Gli hacker legati alla Corea del Nord continuano a sfruttare videochiamate in diretta, inclusi deepfake generati dall’intelligenza artificiale, per ingannare sviluppatori e lavoratori del settore crypto, inducendoli a installare software dannoso sui propri dispositivi.
La campagna di hacking
Nell’ultimo caso rivelato dal co-fondatore di BTC Prague, Martin Kuchař, gli attaccanti hanno utilizzato un account Telegram compromesso e una videochiamata simulata per diffondere malware mascherato da una presunta correzione audio di Zoom. La “campagna di hacking di alto livello” sembra mirare specificamente agli utenti di Bitcoin e criptovalute, come ha rivelato Kuchař giovedì su X.
“Gli attaccanti contattano la vittima e organizzano una chiamata su Zoom o Teams. Durante la chiamata, utilizzano un video generato dall’IA per apparire come qualcuno che la vittima conosce.”
Affermano poi che c’è un problema audio e chiedono alla vittima di installare un plugin o un file per risolverlo. Una volta installato, il malware concede agli attaccanti accesso completo al sistema, permettendo loro di rubare Bitcoin, prendere il controllo degli account Telegram e utilizzare quegli account per colpire altre vittime.
Statistiche e tecniche di attacco
Questo avviene mentre le truffe di impersonificazione guidate dall’IA hanno portato le perdite legate al crypto a un record di 17 miliardi di dollari nel 2025, con gli attaccanti che utilizzano sempre più video deepfake, clonazione della voce e identità false per ingannare le vittime e accedere ai fondi, secondo i dati della società di analisi blockchain Chainalysis.
L’attacco, come descritto da Kuchař, corrisponde strettamente a una tecnica documentata per la prima volta dalla società di cybersecurity Huntress, che ha riportato a luglio dello scorso anno che questi attaccanti attirano un lavoratore del settore crypto in una chiamata Zoom simulata dopo un contatto iniziale su Telegram, spesso utilizzando un link di riunione falso ospitato su un dominio Zoom contraffatto.
“Durante la chiamata, gli attaccanti affermerebbero che c’è un problema audio e istruiscono la vittima a installare quella che sembra essere una correzione relativa a Zoom, che in realtà è un AppleScript dannoso.”
Una volta eseguito, lo script disabilita la cronologia della shell, controlla o installa Rosetta 2 (uno strato di traduzione) sui dispositivi Apple Silicon e chiede ripetutamente all’utente la password di sistema per ottenere privilegi elevati.
Identificazione e attribuzione degli attacchi
Lo studio ha scoperto che la catena di malware installa più payload, inclusi backdoor persistenti, strumenti di keylogging e clipboard, e rubatori di wallet crypto, una sequenza simile a quella a cui Kuchař ha fatto riferimento quando ha rivelato lunedì che il suo account Telegram era stato compromesso e successivamente utilizzato per colpire altri nello stesso modo.
I ricercatori di sicurezza di Huntress hanno attribuito l’intrusione con alta fiducia a una minaccia persistente avanzata legata alla Corea del Nord, tracciata come TA444, nota anche come BlueNoroff e con diversi altri alias operanti sotto il termine ombrello Lazarus Group, un gruppo sponsorizzato dallo stato focalizzato sul furto di criptovalute almeno dal 2017.
“C’è chiara riutilizzazione tra le campagne. Vediamo costantemente il targeting di portafogli specifici e l’uso di script di installazione molto simili.”
Le immagini e i video “non possono più essere trattati come prove affidabili di autenticità”, ha detto David Liberman, co-creatore della rete di calcolo decentralizzata AI Gonka, a Decrypt. Ha aggiunto che il contenuto digitale “dovrebbe essere firmato crittograficamente dal suo creatore, e tali firme dovrebbero richiedere un’autenticazione a più fattori.”
Le narrazioni, in contesti come questo, sono diventate “un segnale importante da tracciare e rilevare” dato che questi attacchi “si basano su schemi sociali familiari”, ha concluso.
Il Lazarus Group della Corea del Nord è legato a campagne contro aziende crypto, lavoratori e sviluppatori, utilizzando malware su misura e ingegneria sociale sofisticata per rubare beni digitali e credenziali di accesso.
