Google попереджає про кампанію з використанням ШІ-підсиленого північнокорейського шкідливого програмного забезпечення, спрямовану на крипто- та DeFi-індустрію

Коротко

• Північнокорейські актори цілеспрямовано атакують криптоіндустрію за допомогою фішингових атак із використанням штучного інтелекту — глибоких фейків та підроблених зустрічей у Zoom, попередила Google.
• У 2025 році DPRK-хакери викрали понад 2 мільярди доларів у криптовалюті.
• Експерти попереджають, що довірені цифрові ідентичності стають найслабшим місцем.

Команда безпеки Google у Mandiant попередила, що північнокорейські хакери використовують штучний інтелект для створення глибоких фейків у підроблених відеозустрічах у рамках все більш складних атак на криптокомпанії, згідно з доповіддю, опублікованою у понеділок. Mandiant повідомила, що нещодавно досліджувала проникнення у фінтех-компанію, яке вони приписують UNC1069, або “CryptoCore”, — загрозливому актору, з високою ймовірністю пов’язаному з Північною Кореєю. Атака використовувала зламаний акаунт у Telegram, підроблену зустріч у Zoom та тактику ClickFix для обману жертви з метою запуску шкідливих команд. Також дослідники знайшли докази використання відео, створеного штучним інтелектом, для обману цілі під час підробленої зустрічі.

Актор з Північної Кореї UNC1069 цілеспрямовано атакує криптоіндустрію за допомогою соціальної інженерії з використанням AI, глибоких фейків та 7 нових сімей шкідливого програмного забезпечення.

Детальніше про їхні TTP та інструменти, а також IOC для виявлення та пошуку активності у нашому дописі 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (частина Google Cloud) (@Mandiant) 9 лютого 2026

“Мандіант зафіксувала, що UNC1069 використовує ці техніки для цілеспрямованих атак як на корпоративні структури, так і на окремих осіб у криптоіндустрії, включаючи програмні компанії та їхніх розробників, а також венчурні фонди та їхніх співробітників або керівників,” — йдеться у доповіді. Атака на криптовалютні крадіжки у Північній Кореї Попередження з’являється на тлі зростання масштабів крадіжок криптовалюти у Північній Кореї. У середині грудня аналітична компанія Chainalysis повідомила, що північнокорейські хакери викрали у 2025 році 2,02 мільярда доларів у криптовалюті, що на 51% більше, ніж попереднього року. Загальна сума викраденого, пов’язана з DPRK, наразі становить приблизно 6,75 мільярда доларів, хоча кількість атак зменшилася. Ці висновки підкреслюють ширший зсув у способах роботи державних кіберзлочинців. Замість масових фішингових кампаній, CryptoCore та подібні групи зосереджуються на високоточно налаштованих атаках, що експлуатують довіру до рутинних цифрових взаємодій, таких як запрошення у календарі та відеодзвінки. Таким чином, Північна Корея досягає більших крадіжок за допомогою менше кількості цілеспрямованих інцидентів. За даними Mandiant, атака почалася, коли жертву зв’язали у Telegram нібито відомим керівником у криптовалютній сфері, чий акаунт уже був зламаний. Після встановлення довіри зловмисник надіслав посилання на Calendly для 30-хвилинної зустрічі, яка перенаправила жертву на підроблений Zoom-зв’язок, розміщений на інфраструктурі групи. Під час дзвінка жертва повідомила, що бачить, ймовірно, глибокий фейк відео відомого керівника у криптоіндустрії. Після початку зустрічі зловмисники заявили, що виникли проблеми з аудіо, і наказали жертві виконати “діагностичні” команди, що є тактикою ClickFix, яка в кінцевому підсумку спричинила зараження шкідливим програмним забезпеченням. Пізніше судмедексперти виявили сім різних сімей шкідливого ПЗ на системі жертви, що було зроблено з метою збору облікових даних, даних браузера та токенів сесій для фінансових крадіжок і майбутнього маскування особи.

Глибокий фейк для маскування Фрейзер Едвардс, співзасновник і генеральний директор децентралізованої компанії з управління ідентичністю cheqd, зазначив, що ця атака відображає закономірність, яку він спостерігає повторювано щодо людей, чиї робочі обов’язки залежать від віддалених зустрічей і швидкої координації. “Ефективність цього підходу полягає у тому, наскільки мало потрібно, щоб виглядало незвично,” — сказав Едвардс. “Відправник знайомий. Формат зустрічі звичайний. Немає вкладень із шкідливим ПЗ або очевидних експлойтів. Довіра використовується ще до того, як будь-який технічний захист може втрутитися.” Едвардс додав, що відео з глибоким фейком зазвичай вводять на етапах ескалації, таких як живі дзвінки, де бачення знайомої особи може перевищити сумніви, викликані несподіваними запитами або технічними проблемами. “Бачити, що здається реальною людиною на камері, часто достатньо, щоб подолати сумніви, викликані несподіваним запитом або технічними труднощами. Мета — не тривала взаємодія, а достатня реалістичність, щоб перейти до наступного кроку,” — пояснив він.  Він додав, що штучний інтелект тепер використовується для підтримки маскування поза межами живих дзвінків. “Він використовується для складання повідомлень, корекції тону голосу та імітації звичайної комунікації з колегами або друзями. Це ускладнює перевірку рутинних повідомлень і зменшує ймовірність того, що отримувач затримається достатньо довго, щоб перевірити взаємодію,” — пояснив він. Едвардс попередив, що ризик зросте з впровадженням агентів штучного інтелекту у повсякденне спілкування та прийняття рішень. “Агенти можуть надсилати повідомлення, планувати дзвінки і діяти від імені користувачів із швидкістю машини. Якщо ці системи будуть зловживані або зламані, глибокі фейки у аудіо або відео можуть автоматично застосовуватися, перетворюючи маскування з ручної роботи у масштабований процес,” — сказав він. Очікувати, що більшість користувачів зможуть розпізнати глибокий фейк, є “нереалістичним,” — додав Едвардс, — і зазначив, що “відповідь полягає не у тому, щоб просити користувачів бути уважнішими, а у створенні систем, які захищають їх за замовчуванням. Це означає покращення сигналів автентичності та їхньої перевірки, щоб користувачі могли швидко зрозуміти, чи є контент реальним, штучним або неперевіреним, без покладанняся на інстинкти, знайомство або ручне дослідження.”