Cảnh báo về các cuộc tấn công của hacker Bắc Triều Tiên
Đội ngũ an ninh của Google tại Mandiant đã cảnh báo rằng các hacker Bắc Triều Tiên đang tích hợp công nghệ deepfake do trí tuệ nhân tạo tạo ra vào các cuộc họp video giả mạo, như một phần của các cuộc tấn công ngày càng tinh vi nhằm vào các công ty trong lĩnh vực tiền điện tử.
Chi tiết về cuộc tấn công
Theo báo cáo được phát hành vào thứ Hai, Mandiant cho biết họ gần đây đã điều tra một vụ xâm nhập tại một công ty fintech mà họ quy cho nhóm UNC1069, hay còn gọi là “CryptoCore”, một tác nhân đe dọa có liên quan chặt chẽ đến Bắc Triều Tiên. Cuộc tấn công đã sử dụng một tài khoản Telegram bị xâm phạm, một cuộc họp Zoom giả mạo và một kỹ thuật gọi là ClickFix để lừa nạn nhân thực hiện các lệnh độc hại.
“Mandiant đã quan sát thấy UNC1069 sử dụng những kỹ thuật này để nhắm đến cả các thực thể doanh nghiệp và cá nhân trong ngành công nghiệp tiền điện tử, bao gồm các công ty phần mềm và các nhà phát triển của họ, cũng như các công ty đầu tư mạo hiểm và nhân viên hoặc giám đốc của họ,” báo cáo cho biết.
Tình hình trộm tiền điện tử
Cảnh báo này được đưa ra khi các vụ trộm tiền điện tử của Bắc Triều Tiên tiếp tục gia tăng về quy mô. Vào giữa tháng 12, công ty phân tích blockchain Chainalysis cho biết các hacker Bắc Triều Tiên đã đánh cắp 2,02 tỷ USD tiền điện tử vào năm 2025, tăng 51% so với năm trước. Tổng số tiền bị đánh cắp bởi các tác nhân liên quan đến DPRK hiện đứng ở mức khoảng 6,75 tỷ USD, mặc dù số lượng các cuộc tấn công đã giảm.
Phương thức tấn công tinh vi
Những phát hiện này làm nổi bật một sự chuyển biến rộng hơn trong cách mà các tội phạm mạng liên kết với nhà nước đang hoạt động. Thay vì dựa vào các chiến dịch lừa đảo hàng loạt, CryptoCore và các nhóm tương tự đang tập trung vào các cuộc tấn công được tùy chỉnh cao, khai thác lòng tin trong các tương tác kỹ thuật số thường xuyên, chẳng hạn như lời mời lịch và cuộc gọi video.
Bằng cách này, Bắc Triều Tiên đang đạt được những vụ trộm lớn hơn thông qua ít sự cố hơn, nhưng có mục tiêu hơn. Theo Mandiant, cuộc tấn công bắt đầu khi nạn nhân được liên lạc trên Telegram bởi một người dường như là một giám đốc điều hành trong lĩnh vực tiền điện tử mà tài khoản của họ đã bị xâm phạm.
Chiến lược lừa đảo
Fraser Edwards, đồng sáng lập và CEO của công ty danh tính phi tập trung cheqd, cho biết cuộc tấn công phản ánh một mô hình mà ông đang thấy lặp đi lặp lại đối với những người có công việc phụ thuộc vào các cuộc họp từ xa và sự phối hợp nhanh chóng.
“Hiệu quả của cách tiếp cận này đến từ việc rất ít điều trông có vẻ bất thường,” Edwards nói. “Người gửi là người quen thuộc. Định dạng cuộc họp là thông thường. Không có tệp đính kèm malware hoặc khai thác rõ ràng. Lòng tin được khai thác trước khi bất kỳ biện pháp phòng thủ kỹ thuật nào có cơ hội can thiệp.”
Rủi ro từ công nghệ AI
Edwards cảnh báo rằng rủi ro sẽ tăng lên khi các tác nhân AI được đưa vào giao tiếp và ra quyết định hàng ngày. “Các tác nhân có thể gửi tin nhắn, lên lịch cuộc gọi, và hành động thay mặt cho người dùng với tốc độ máy móc. Nếu những hệ thống đó bị lạm dụng hoặc xâm phạm, âm thanh hoặc video deepfake có thể được triển khai tự động, biến việc giả mạo từ một nỗ lực thủ công thành một quy trình có thể mở rộng,” ông nói.
Thật “không thực tế” khi mong đợi hầu hết người dùng biết cách phát hiện một deepfake, Edwards nói, và thêm rằng, “Câu trả lời không phải là yêu cầu người dùng chú ý hơn, mà là xây dựng các hệ thống bảo vệ họ theo mặc định. Điều đó có nghĩa là cải thiện cách mà tính xác thực được tín hiệu và xác minh, để người dùng có thể nhanh chóng hiểu liệu nội dung là thật, tổng hợp, hay chưa được xác minh mà không phải dựa vào bản năng, sự quen thuộc, hoặc điều tra thủ công.”
