Kampania złośliwego oprogramowania powiązana z Koreą Północną atakuje firmy kryptowalutowe
Mandiant z Google Cloud zwrócił uwagę na eskalację cyberataków związanych z podejrzewanymi aktorami zagrożeń z Korei Północnej, które szczególnie celują w kryptowaluty, fintech, programistów oprogramowania i firmy VC. Kampania wykazuje rosnącą sofistykację — napędzaną przez inżynierię społeczną opartą na AI.
◻️ Nowe wdrożenie złośliwego oprogramowania
Klastra zagrożeń UNC1069 wdrożył siedem rodzin złośliwego oprogramowania, w tym nowo zidentyfikowane narzędzia: SILENCELIFT, DEEPBREATH i CHROMEPUSH. Te szczepy są zaprojektowane do eksfiltracji danych hosta, omijania ochrony systemu operacyjnego i uzyskiwania dostępu do wrażliwych poświadczeń — stwarzając bezpośrednie ryzyko dla posiadaczy aktywów cyfrowych.
◻️ Wzmocniona inżynieria społeczna oparta na AI
Napastnicy użyli skompromitowanych kont Telegram i zorganizowali spotkania na Zoomie z wykorzystaniem generowanych przez AI głębokich fałszywych nagrań wideo. Ofiary zostały oszukane do uruchomienia komend „rozwiązywania problemów z dźwiękiem” — atak w stylu ClickFix, który wbudowuje ukryty złośliwy kod.
◻️ Strategiczne celowanie
To oznacza rozszerzenie operacyjne od końca 2025 roku, przy czym wabiki oparte na AI znacznie zwiększają skalę ataków. Założyciele kryptowalut, giełdy i startupy Web3 pozostają celami o wysokiej wartości.
◻️ Wnioski dotyczące bezpieczeństwa
Nigdy nie wykonuj poleceń na poziomie systemu z nieznanych źródeł — nawet podczas pozornie legalnych rozmów wideo. Adopcja instytucjonalna rośnie, ale rośnie także ryzyko cybernetyczne ze strony państw.
Bezpieczeństwo operacyjne nie jest już opcjonalne w kryptowalutach.