Группа безопасности Mandiant компании Google предупреждает, что хакеры из Северной Кореи интегрируют технологии deepfake, созданные ИИ, в поддельные видеоконференции, как часть всё более изощрённых кампаний атак на криптовалютные компании, согласно отчету, опубликованному в понедельник.
Mandiant сообщает, что недавно они расследовали взлом в финтех-компании, который был приписан группе UNC1069 (также известной как «CryptoCore») — угрозоносителю, имеющему очень тесные связи с Северной Кореей. Атака использовала захваченный аккаунт в Telegram, поддельную видеоконференцию в Zoom и технику ClickFix для обмана жертвы с целью выполнения вредоносных команд. Следователи также обнаружили доказательства того, что видео, созданное ИИ, использовалось в поддельной встрече для введения цели в заблуждение.
По данным отчета, Mandiant зафиксировала, что UNC1069 применяет эти техники для атаки как организаций, так и отдельных лиц в криптоиндустрии, включая программные компании, разработчиков, а также венчурные фонды и их команду руководства.
Кампания по краже криптовалюты из Северной Кореи усиливается
Предупреждение было сделано на фоне продолжающегося роста масштабов краж криптовалют, связанных с Северной Кореей. В середине декабря аналитическая компания Chainalysis сообщила, что хакеры из Северной Кореи украли 2,02 миллиарда долларов криптовалюты в 2025 году, что на 51% больше по сравнению с предыдущим годом. Общая оценка активов, похищенных группами, связанными с Пхеньяном, составляет около 6,75 миллиарда долларов, несмотря на снижение количества атак.
Эти выводы свидетельствуют о смене тактики работы государственных киберпреступных групп. Вместо масштабных фишинговых кампаний, CryptoCore и подобные группы сосредотачиваются на высоко персонализированных атаках, использующих доверие в цифровых взаимодействиях, таких как приглашения на встречи или видеозвонки. Это позволяет хакерам совершать крупные кражи при меньшем количестве инцидентов, но с более четко целенаправленными целями.
По данным Mandiant, атака начинается с того, что жертва связывается через Telegram с человеком, который кажется знакомым руководителем в криптоиндустрии, однако этот аккаунт на самом деле контролируется хакером. После установления доверия злоумышленник отправляет ссылку на Calendly для организации 30-минутной встречи, которая ведет к поддельному звонку в Zoom, размещенному на инфраструктуре группы. Во время звонка жертва сообщает, что видит deepfake-видео известного руководителя криптокомпании.
Когда встреча начинается, хакер оправдывается техническими неполадками со звуком и просит жертву выполнить команды по «устранению ошибок» — вариацию техники ClickFix, которая активирует вредоносный код. После этого судебно-медицинский анализ обнаружил на системе жертвы семь различных видов вредоносных программ, предназначенных для кражи учетных данных, данных браузера и токенов сессий для финансовых целей и мошенничества.
Deepfake и ИИ — новые тактики мошенничества
Фрейзер Эдвардс, соучредитель и генеральный директор компании cheqd, специализирующейся на децентрализованной идентификации, считает, что инцидент отражает тенденцию, когда хакеры всё чаще нацеливаются на людей, зависящих от онлайн-встреч и удаленной работы. По его словам, эффективность этого метода заключается в отсутствии явных признаков аномалии: отправитель кажется знакомым, формат встречи привычен, нет вложений или очевидных уязвимостей. Доверие эксплуатируется до тех пор, пока технические меры защиты не смогут вмешаться.
Эдвардс отмечает, что deepfake-видео обычно используют на этапе усиления атаки, например, во время прямого звонка, когда изображение знакомого лица может устранить подозрения, вызванные необычными требованиями или техническими сбоями. Цель не в том, чтобы затягивать взаимодействие, а в создании достаточно реалистичной картинки, чтобы подтолкнуть жертву к следующему шагу.
Он также подчеркивает, что ИИ сейчас используется для поддержки мошенничества вне рамок прямых звонков, включая подготовку сообщений, настройку тона и имитацию стиля общения с коллегами или друзьями. Это делает обычные сообщения менее подозрительными и снижает вероятность того, что получатель остановится и проверит информацию.
По словам Эдвардса, риски будут только расти по мере более глубокого внедрения ИИ в коммуникационные и управленческие процессы. Эти системы могут автоматически отправлять сообщения, планировать звонки и действовать от имени пользователя с машинной скоростью. При злоупотреблении или взломе deepfake-голоса и видео могут автоматически распространяться, превращая мошенничество из ручных усилий в масштабируемый процесс.
Он считает, что ожидать, что большинство пользователей смогут самостоятельно распознать deepfake, нереалистично. Вместо этого необходимо создавать системы защиты по умолчанию, улучшать механизмы аутентификации и отображать уровень достоверности контента, чтобы пользователи могли быстро определить, является ли информация подлинной, созданной ИИ или не подтвержденной, а не полагаться на интуицию или привычку.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
