Mandiant и Google Cloud сообщили о кластере, связанном с Северной Кореей, UNC1069, использующем deepfake на основе ИИ, взломанные аккаунты в Telegram и поддельные приглашения в календаре Zoom, чтобы обманывать сотрудников крипто- и финтех-компаний. Вторжения используют многоступенчатое вредоносное ПО и похищают учетные данные и данные браузеров/кошельков.

Расследование Mandiant, поддержанное телеметрией Google Cloud, приписывает сложную кампанию группе UNC1069, которая сочетает в себе сгенерированное ИИ дипфейк-видео доверенных руководителей с скомпрометированными учетными записями в Telegram и поддельными приглашениями в календаре Zoom. Целевые объекты в криптовалютной и финтех-среде подвергаются социальной инженерии с целью выполнения так называемых команд по устранению неполадок, которые устанавливают многоступенчатое вредоносное ПО, способное захватывать сессии браузера, данные кошельков и учетные данные. Исследователи наблюдали семь различных семейств вредоносного ПО в одной компрометации, что указывает на широкую базу инструментов и модульную операционную модель, рассчитанную на кражу учетных данных и финансов в крупном масштабе. Акторы расширили возможности по уклонению от обнаружения и автоматизации утечки данных, что повышает риск для централизованных бирж, провайдеров кастодиальных услуг и институциональных трейдеров. Mandiant предупреждает защитников относиться к приглашениям на совещания в календарях и видеовстречам скептически, внедрять многофакторную защиту, изолировать рабочие процессы по устранению неполадок и применять детектирование угроз на конечных точках, настроенное под новые цепочки исполнения. Этот случай подчеркивает слияние генеративного ИИ, компрометации идентичностей и традиционного вредоносного ПО для кражи учетных данных как усиливающуюся угрозу для глобального криптосектора.