Mandiant e Google Cloud relataram um cluster ligado à Coreia do Norte, UNC1069, utilizando deepfakes de IA, contas do Telegram comprometidas e convites de calendário do Zoom falsificados para enganar funcionários de cripto e fintech. As intrusões utilizam malware em múltiplas etapas e coletam credenciais e dados de navegador/carteira.

A investigação da Mandiant, apoiada pela telemetria do Google Cloud, atribui uma campanha sofisticada ao UNC1069 que combina vídeo deepfake gerado por IA de executivos confiáveis com identidades do Telegram comprometidas e convites de calendário do Zoom falsificados. Alvos em ambientes de criptomoedas e fintech são socialmente engenheirados para executar os chamados comandos de solução de problemas que instalam malware em múltiplas etapas capaz de capturar sessões de navegador, dados de carteiras e credenciais. Pesquisadores observaram sete famílias de malware distintas em uma única intrusão, indicando amplo arsenal e operações modulares projetadas para roubo em larga escala de credenciais e recursos financeiros. Os atores ampliaram capacidades para evadir detecção e automatizar a exfiltração de dados, aumentando o risco para exchanges centralizadas, provedores de custódia e traders institucionais. A Mandiant alerta os defensores a tratarem convites para reuniões por calendário e vídeo com ceticismo, implementarem proteções multifator, isolarem fluxos de trabalho de solução de problemas e aplicarem detecção de ameaças em endpoints ajustada para novas cadeias de execução. O caso destaca a convergência de IA generativa, comprometimento de identidade e malware tradicional de roubo de credenciais como uma ameaça crescente ao setor cripto global.