Pag-atake ng mga Hacker na Konektado sa North Korea
Ang mga hacker na may kaugnayan sa North Korea ay patuloy na gumagamit ng live video calls, kabilang ang mga AI-generated deepfakes, upang lokohin ang mga developer at manggagawa ng cryptocurrency na mag-install ng nakakahamak na software sa kanilang mga device.
Insidente ng Malware
Sa pinakabagong insidente na ibinunyag ng co-founder ng BTC Prague na si Martin Kuchař, ginamit ng mga umaatake ang isang nakompromisong Telegram account at isang staged video call upang ipakalat ang malware na nakatago bilang isang Zoom audio fix. Ayon kay Kuchař, ang “high-level hacking campaign” ay tila “nakatutok sa mga gumagamit ng Bitcoin at cryptocurrency.”
Paraan ng Atake
Nakikipag-ugnayan ang mga umaatake sa biktima at nag-set up ng Zoom o Teams call. Sa panahon ng tawag, gumagamit sila ng AI-generated video upang magmukhang isang tao na kilala ng biktima. Pagkatapos, sinasabi nila na may problema sa audio at hinihiling sa biktima na mag-install ng plugin o file upang ayusin ito. Kapag na-install na, ang malware ay nagbibigay sa mga umaatake ng buong access sa sistema, na nagpapahintulot sa kanila na magnakaw ng Bitcoin, sakupin ang mga Telegram account, at gamitin ang mga account na iyon upang targetin ang iba.
Pagtaas ng mga Scam na Pinapagana ng AI
Ito ay naganap habang ang mga scam na pinapagana ng AI ay nagdala ng mga pagkalugi na may kaugnayan sa cryptocurrency sa isang rekord na $17 bilyon noong 2025, kung saan ang mga umaatake ay lalong gumagamit ng deepfake video, voice cloning, at pekeng pagkakakilanlan upang lokohin ang mga biktima at makakuha ng access sa mga pondo, ayon sa datos mula sa blockchain analytics firm na Chainalysis.
Teknik ng mga Umaatake
Ang atake, ayon kay Kuchař, ay malapit na tumutugma sa isang teknik na unang naitala ng cybersecurity company na Huntress, na nag-ulat noong Hulyo ng nakaraang taon na ang mga umaatake na ito ay umaakit ng isang target na manggagawa sa cryptocurrency sa isang staged Zoom call pagkatapos ng paunang pakikipag-ugnayan sa Telegram, kadalasang gumagamit ng pekeng meeting link na naka-host sa isang spoofed Zoom domain.
Malware Chain at mga Target
Sa panahon ng tawag, ang mga umaatake ay mag-aangkin na may problema sa audio at mag-uutos sa biktima na mag-install ng tila Zoom-related fix, na sa katunayan ay isang nakakahamak na AppleScript na nag-uumpisa ng multi-stage macOS infection. Kapag na-execute, ang script ay nag-disable ng shell history, nagche-check para sa o nag-iinstall ng Rosetta 2 (isang translation layer) sa mga Apple Silicon device, at paulit-ulit na hinihiling ang user para sa kanilang system password upang makakuha ng elevated privileges.
Advanced Persistent Threat
Natutuklasan ng pag-aaral na ang malware chain ay nag-iinstall ng maraming payloads, kabilang ang persistent backdoors, keylogging at clipboard tools, at crypto wallet stealers, isang katulad na pagkakasunod-sunod na itinuro ni Kuchař nang ibinunyag niya noong Lunes na ang kanyang Telegram account ay nakompromiso at kalaunan ay ginamit upang targetin ang iba sa parehong paraan.
Koneksyon sa Lazarus Group
Ang mga security researchers sa Huntress ay may mataas na kumpiyansa na iniuugnay ang pagpasok na ito sa isang advanced persistent threat na may kaugnayan sa North Korea na tinutukoy bilang TA444, na kilala rin bilang BlueNoroff at sa iba pang mga alias na nagpapatakbo sa ilalim ng umbrella term na Lazarus Group, isang state-sponsored group na nakatuon sa pagnanakaw ng cryptocurrency mula pa noong 2017.
Mga Opinyon ng mga Eksperto
Nang tanungin tungkol sa mga operational goals ng mga kampanyang ito at kung sa tingin nila ay may kaugnayan, sinabi ni Shān Zhang, chief information security officer ng blockchain security firm na Slowmist, sa Decrypt na ang pinakabagong atake kay Kuchař ay “posibleng” konektado sa mas malawak na mga kampanya mula sa Lazarus Group.
“May malinaw na muling paggamit sa mga kampanya. Patuloy naming nakikita ang pagtutok sa mga tiyak na wallet at ang paggamit ng napaka-katulad na install scripts,” sinabi ni David Liberman, co-creator ng decentralized AI compute network na Gonka, sa Decrypt.
“Ang mga imahe at video ay ‘di na maaaring ituring na maaasahang patunay ng pagiging tunay,” sabi ni Liberman, na idinagdag na ang digital content “dapat ay cryptographically signed ng kanyang creator, at ang mga ganitong pirma ay dapat mangailangan ng multi-factor authorization.”
Ang mga naratibo, sa mga konteksto tulad nito, ay naging “isang mahalagang signal upang subaybayan at matukoy” dahil sa kung paano ang mga atake na ito “ay umaasa sa pamilyar na mga pattern ng lipunan,” sabi niya.
Ang Lazarus Group ng North Korea ay konektado sa mga kampanya laban sa mga kumpanya ng cryptocurrency, mga manggagawa, at mga developer, gamit ang mga nakalaang malware at sopistikadong social engineering upang magnakaw ng mga digital na asset at mga kredensyal sa pag-access.
