Google предупреждает о кампании вредоносного ПО, управляемой ИИ, из Северной Кореи, нацеленой на криптовалюты и DeFi

Кратко

• Акторы из Северной Кореи нацеливаются на криптоиндустрию с помощью фишинговых атак, использующих ИИ-Deepfake и поддельные встречи в Zoom, предупредила Google.
• В 2025 году хакеры из DPRK украли более 2 миллиардов долларов в криптовалюте.
• Эксперты предупреждают, что доверенные цифровые идентификаторы становятся самым слабым звеном.

Команда безопасности Google в Mandiant предупредила, что хакеры из Северной Кореи внедряют искусственно созданные ИИ-Deepfake в поддельные видеовстречи в рамках все более изощренных атак на криптокомпании, согласно отчету, опубликованному в понедельник. Mandiant сообщила, что недавно расследовала взлом финтех-компании, который она связывает с UNC1069, или «CryptoCore», группой угроз, с высокой уверенностью связанной с Северной Кореей. Атака использовала скомпрометированный аккаунт в Telegram, поддельную встречу в Zoom и тактику ClickFix, чтобы обмануть жертву и заставить её выполнить вредоносные команды. Следователи также обнаружили доказательства использования видео, сгенерированного ИИ, для обмана цели во время поддельной встречи.

Актор из Северной Кореи UNC1069 нацеливается на крипто-сектор с помощью ИИ-усиленного социального инжиниринга, Deepfake и 7 новых семейств вредоносного ПО.

Подробнее о их тактиках, инструментах и IOC для обнаружения и поиска активности в нашем посте 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (часть Google Cloud) (@Mandiant) 9 февраля 2026 г.

«Mandiant наблюдает, что UNC1069 использует эти методы для атаки как корпоративных структур, так и отдельных лиц в криптоиндустрии, включая софтверные компании и их разработчиков, а также венчурные фонды и их сотрудников или руководителей», — говорится в отчете. Кампания по краже криптовалюты в Северной Корее Предупреждение прозвучало на фоне продолжающегося роста масштабов краж криптовалюты в Северной Корее. В середине декабря аналитическая компания Chainalysis сообщила, что хакеры из Северной Кореи украли в 2025 году 2,02 миллиарда долларов в криптовалюте, что на 51% больше по сравнению с предыдущим годом. Общая сумма, украденная группами, связанными с DPRK, сейчас составляет примерно 6,75 миллиарда долларов, несмотря на снижение количества атак. Эти данные подчеркивают более широкое изменение в методах работы киберпреступников, связанных с государством. Вместо массовых фишинговых кампаний группы вроде CryptoCore сосредотачиваются на очень целенаправленных атаках, использующих доверие к рутинным цифровым взаимодействиям, таким как приглашения в календарь и видеозвонки. Таким образом, Северная Корея достигает больших краж при меньшем числе инцидентов, более точно нацеленных. По данным Mandiant, атака началась, когда жертву связали в Telegram, притворяясь известным руководителем криптоиндустрии, чей аккаунт уже был скомпрометирован. После установления доверия злоумышленник отправил ссылку Calendly на 30-минутную встречу, которая перенаправила жертву на поддельный звонок в Zoom, размещенный на инфраструктуре группы. Во время звонка жертва заметила, что на экране появляется видео, которое, по всей видимости, является Deepfake-изображением известного руководителя крипто-компании. Когда встреча началась, злоумышленники заявили о проблемах со звуком и приказали жертве выполнить команды для устранения неполадок, что с помощью техники ClickFix в конечном итоге вызвало заражение вредоносным ПО. Позднее судебно-экспертный анализ выявил семь различных семейств вредоносных программ на системе жертвы, предназначенных для сбора учетных данных, данных браузера и токенов сессий для финансовых краж и будущего маскировки.

Имитация с помощью Deepfake Фрейзер Эдвардс, соучредитель и CEO компании cheqd, занимающейся децентрализованной идентификацией, заявил, что атака отражает повторяющуюся модель, которую он наблюдает у людей, чья работа зависит от удаленных встреч и быстрой координации. «Эффективность этого подхода заключается в том, что всё выглядит вполне обычным», — сказал Эдвардс. «Отправитель знаком. Формат встречи стандартен. Нет вложений с вредоносным ПО или очевидных уязвимостей. Доверие используется до того, как техническая защита успеет вмешаться.» Эдвардс отметил, что видео с Deepfake обычно вводится на этапах эскалации, таких как живые звонки, где увидеть знакомое лицо может преодолеть сомнения, вызванные неожиданными запросами или техническими проблемами. «Видеть, казалось бы, реального человека на камеру, зачастую достаточно, чтобы преодолеть сомнения, вызванные неожиданным запросом или технической проблемой. Цель — не длительное взаимодействие, а создание достаточной реалистичности, чтобы подтолкнуть жертву к следующему шагу», — пояснил он. Он добавил, что ИИ теперь используется для поддержки имитации вне живых звонков. «Он помогает составлять сообщения, корректировать тон голоса и имитировать стиль общения с коллегами или друзьями. Это усложняет проверку рутинных сообщений и снижает вероятность того, что получатель остановится и проверит взаимодействие», — объяснил он. Эдвардс предупредил, что риск возрастет с внедрением ИИ-агентов в повседневное общение и принятие решений. «Агенты могут отправлять сообщения, планировать звонки и действовать от имени пользователей с машинной скоростью. Если эти системы будут злоупотреблены или скомпрометированы, автоматическая доставка Deepfake-аудио или видео станет возможной, превращая имитацию из ручного процесса в масштабируемый», — отметил он. По его словам, большинству пользователей трудно распознать Deepfake, и «ответ не в том, чтобы просить их быть более внимательными, а в создании систем, которые по умолчанию защищают их. Это включает улучшение способов сигнализации и проверки подлинности, чтобы пользователи могли быстро понять, является ли контент реальным, синтетическим или неподтвержденным, без необходимости полагаться на инстинкт, знакомство или ручное расследование».