I cybercriminali nordcoreani usano deepfake AI per rapinare criptovalute

Nuova tattica di cyberattacchi da parte di un gruppo collegato alla Corea del Nord

Gli specialisti di Google hanno svelato il lavoro della rete hacker (UNC1069), presumibilmente sotto controllo delle autorità nordcoreane. Dal 2018 utilizzano l'intelligenza artificiale per creare nuovi set di strumenti e schemi di ingegneria sociale rivolti a cittadini e dipendenti di aziende di criptovalute.

Come appare l'attacco
1. Infiltrazione dell'account

Gli hacker ottengono accesso ad un account esistente (solitamente sui social media o nella posta elettronica).

2. Avvio della videoconferenza

Attraverso quell'account inviano al bersaglio un link alla sessione Zoom.

3. Incontro deepfake

All'interno della chiamata appare un video con un volto falso – ad esempio, “CEO di un'altra azienda crypto”. Viene creato con l'IA e sembra così realistico che la maggior parte delle persone non noterà il falsificato.

4. “Servizio” passo-passo

Il deepfake afferma problemi tecnici e chiede all'utente di eseguire una serie di azioni sul proprio computer. Le istruzioni includono comandi dannosi che avviano backdoor e programmi per rubare dati.

5. Ottenimento del materiale prezioso

Dopo aver seguito le istruzioni, gli aggressori ottengono accesso a informazioni confidenziali e potenzialmente possono rubare criptovalute.

Arsenale tecnologico
- Gemini (assistente IA) – usato per generare codice, simulare aggiornamenti software e preparare istruzioni.

- GPT‑4o di OpenAI – impiegato dal gruppo BlueNoroff per migliorare le immagini che convincono gli utenti dell'autenticità dell'invito.

Google ha definito questa tecnica “ingegneria sociale con IA” e ha identificato sette nuove famiglie di malware coinvolte nell'attacco.

Obiettivi e conseguenze
- Rubare criptovalute – principale motivazione finanziaria.

- Raccolta di dati personali – si crea una base per future campagne di ingegneria sociale.

- Attacchi al settore – obiettivi includono sviluppatori software, società di venture capital e i loro dirigenti.

Uno degli account collegati alla rete è stato bloccato da Google dopo che gli aggressori hanno usato Gemini per sviluppare strumenti di ricognizione.

Così, UNC1069 dimostra come le moderne tecnologie IA permettano agli hacker di creare attacchi altamente efficaci e difficili da distinguere contro pubblici target nel settore delle criptovalute.