Mandiant und Google Cloud meldeten einen mit Nordkorea verbundenen Cluster, UNC1069, der KI-Deepfakes, kompromittierte Telegram-Konten und gefälschte Zoom-Kalendereinladungen einsetzt, um Krypto- und Fintech-Mitarbeiter zu täuschen. Die Eindringlinge setzen mehrstufige Malware ein und sammeln Anmeldeinformationen sowie Browser- und Wallet-Daten.

Mandiants Untersuchung, gestützt durch Google-Cloud-Telemetrie, schreibt eine ausgeklügelte Kampagne UNC1069 zu, die KI-generierte Deepfake-Videos vertrauenswürdiger Führungskräfte mit kompromittierten Telegram-Identitäten und gefälschten Zoom-Kalendereinladungen kombiniert. Ziele in Kryptowährungs- und Fintech-Umgebungen werden so sozial manipuliert, dass sie sogenannte Troubleshooting-Befehle ausführen, die mehrstufige Malware installieren, die Browser-Sitzungen, Wallet-Daten und Anmeldeinformationen erfassen kann. Forscher beobachteten sieben verschiedene Malware-Familien in einer einzigen Intrusion, was auf umfangreiche Tools und modulare Operationen hinweist, die auf groß angelegten Diebstahl von Zugangsdaten und finanziellen Mitteln ausgerichtet sind. Die Akteure haben ihre Fähigkeiten erweitert, um der Erkennung zu entgehen und die Datenexfiltration zu automatisieren, wodurch das Risiko für zentrale Börsen, Verwahrstellen und institutionelle Händler steigt. Mandiant warnt Verteidiger, Kalendereinladungen und videobasierte Meeting-Einladungen skeptisch zu behandeln, Mehrfaktorschutz zu implementieren, Troubleshooting-Workflows zu isolieren und Endpoint-Threat-Detection auf neuartige Ausführungswege abzustimmen. Der Fall hebt die Konvergenz von generativer KI, Identitätskompromittierung und traditioneller kennwortdiebstahlender Malware als eskalierende Bedrohung für den globalen Krypto-Sektor hervor.