Mandiant y Google Cloud informaron sobre un grupo vinculado a Corea del Norte, UNC1069, que utiliza deepfakes generados por IA, cuentas de Telegram comprometidas e invitaciones de calendario de Zoom suplantadas para engañar al personal de cripto y fintech. Las intrusiones despliegan malware en varias etapas y recopilan credenciales y datos de navegadores/billeteras.

La investigación de Mandiant, respaldada por la telemetría de Google Cloud, atribuye una campaña sofisticada a UNC1069 que combina videos deepfake generados por IA de ejecutivos de confianza con identidades de Telegram comprometidas e invitaciones de calendario de Zoom suplantadas. Los objetivos en entornos de criptomonedas y fintech son manipulados socialmente para ejecutar los llamados comandos de solución de problemas que instalan malware de varias etapas capaz de capturar sesiones de navegador, datos de billeteras y credenciales. Los investigadores observaron siete familias de malware distintas en una sola intrusión, lo que indica un conjunto de herramientas extenso y operaciones modulares diseñadas para el robo masivo de credenciales y activos financieros. Los actores han ampliado sus capacidades para evadir la detección y automatizar la exfiltración de datos, aumentando el riesgo para los exchanges centralizados, los proveedores de custodia y los traders institucionales. Mandiant advierte a los defensores que traten con escepticismo las invitaciones a reuniones basadas en calendario y video, implementen protecciones multifactor, aíslen los flujos de trabajo de solución de problemas y apliquen detección de amenazas en endpoints ajustada a nuevas cadenas de ejecución. El caso pone de relieve la convergencia de la IA generativa, la suplantación de identidad y el malware tradicional de robo de credenciales como una amenaza en aumento para el sector cripto global.