Attacchi informatici sofisticati da parte della Corea del Nord
Il team di sicurezza di Google, attraverso Mandiant, ha avvertito che gli hacker nordcoreani stanno incorporando deepfake generati da intelligenza artificiale in video di riunioni false, come parte di attacchi sempre più sofisticati contro le aziende di criptovalute. Questo è quanto emerge da un rapporto pubblicato lunedì. Mandiant ha dichiarato di aver recentemente indagato su un’intrusione in una società fintech, attribuendo l’attacco a UNC1069, noto anche come “CryptoCore”, un attore minaccioso con alta probabilità di essere legato alla Corea del Nord.
Dettagli dell’attacco
L’attacco ha utilizzato un account Telegram compromesso, una riunione Zoom falsificata e una tecnica nota come ClickFix per ingannare la vittima a eseguire comandi malevoli. Gli investigatori hanno anche trovato prove che un video generato da AI è stato utilizzato per ingannare il bersaglio durante la riunione falsa.
Mandiant ha osservato UNC1069 impiegare queste tecniche per colpire sia entità aziendali che individui all’interno dell’industria delle criptovalute, comprese le aziende di software e i loro sviluppatori, così come le società di venture capital e i loro dipendenti o dirigenti.
Crescita dei furti di criptovalute
L’avviso arriva mentre i furti di criptovalute da parte della Corea del Nord continuano a crescere in scala. A metà dicembre, la società di analisi blockchain Chainalysis ha dichiarato che gli hacker nordcoreani hanno rubato 2,02 miliardi di dollari in criptovalute nel 2025, un aumento del 51% rispetto all’anno precedente. L’importo totale rubato da attori legati alla DPRK ora ammonta a circa 6,75 miliardi di dollari, anche se il numero di attacchi è diminuito.
Strategie di attacco mirate
I risultati evidenziano un cambiamento più ampio nel modo in cui i criminali informatici legati agli stati operano. Piuttosto che fare affidamento su campagne di phishing di massa, CryptoCore e gruppi simili si concentrano su attacchi altamente mirati che sfruttano la fiducia nelle interazioni digitali di routine, come inviti al calendario e videochiamate. In questo modo, la Corea del Nord sta ottenendo furti più consistenti attraverso meno incidenti, ma più mirati.
Meccanismo dell’attacco
Secondo Mandiant, l’attacco è iniziato quando la vittima è stata contattata su Telegram da quello che sembrava essere un noto dirigente di criptovalute il cui account era già stato compromesso. Dopo aver stabilito un rapporto, l’attaccante ha inviato un link Calendly per una riunione di 30 minuti che ha diretto la vittima a una falsa chiamata Zoom ospitata sull’infrastruttura del gruppo. Durante la chiamata, la vittima ha riferito di aver visto quello che sembrava essere un video deepfake di un noto CEO di criptovalute.
Una volta iniziata la riunione, gli attaccanti hanno affermato che c’erano problemi audio e hanno istruito la vittima a eseguire comandi di “risoluzione dei problemi”, una tecnica ClickFix che ha infine attivato l’infezione da malware. L’analisi forense ha successivamente identificato sette famiglie distinte di malware sul sistema della vittima, distribuite in un apparente tentativo di raccogliere credenziali, dati del browser e token di sessione per furti finanziari e future impersonificazioni.
Commenti degli esperti
Fraser Edwards, co-fondatore e CEO della società di identità decentralizzata cheqd, ha affermato che l’attacco riflette un modello che si sta ripetendo contro persone il cui lavoro dipende da riunioni remote e coordinamento rapido.
L’efficacia di questo approccio deriva da quanto poco deve sembrare insolito.
Edwards ha avvertito che il rischio aumenterà man mano che gli agenti AI verranno introdotti nella comunicazione e nel processo decisionale quotidiani.
Gli agenti possono inviare messaggi, programmare chiamate e agire per conto degli utenti a velocità di macchina. Se quei sistemi vengono abusati o compromessi, audio o video deepfake possono essere distribuiti automaticamente, trasformando l’impersonificazione da uno sforzo manuale a un processo scalabile.
È “irrealistico” aspettarsi che la maggior parte degli utenti sappia come riconoscere un deepfake, ha affermato Edwards, aggiungendo che,
La risposta non è chiedere agli utenti di prestare maggiore attenzione, ma costruire sistemi che li proteggano per impostazione predefinita.
