Laut dem Cybersicherheitsunternehmen Genians nutzte eine von Nordkorea unterstützte Hackergruppe namens Kimsuky ChatGPT, um einen gefälschten südkoreanischen Militärausweis zu erstellen und einen Phishing-Angriff zu starten, der Journalisten, Forscher und Menschenrechtsaktivisten ins Visier nahm.
Die E-Mail mit dem Deepfake-Ausweis enthielt Schadsoftware, die darauf ausgelegt war, Informationen von den Geräten der Empfänger zu stehlen. Diese Kampagne ist Teil eines umfassenderen Musters nordkoreanischer Cyberoperationen, bei denen KI zur globalen Spionage eingesetzt wird.
Die Phishing-E-Mail war so getarnt, dass sie den Anschein erweckte, von einem echten Militär-Account mit der Endung .mil.kr zu stammen. Es gab keinen Fotoanhang, kein Bild des Ausweises. Stattdessen enthielt sie eine versteckte Schadsoftware, die das System des Empfängers infizieren sollte.
Genians bestätigte, dass der gefälschte Militärausweis mithilfe von ChatGPT , nachdem die Plattformbeschränkungen umgangen worden waren. Bei der direkten Aufforderung zur Ausweiserstellung verweigerte das Tool zunächst die Generierung. Den Forschern gelang es jedoch, die Sperre zu umgehen, indem sie die Eingabeaufforderung veränderten.
Nachdem die Eingabeaufforderung umgeschrieben worden war, erstellte das System einen überzeugenden Entwurf, der ausreichte, um die Opfer dazu zu verleiten, auf die eingebettete Schadsoftware zu klicken.
KI-Tools helfen nordkoreanischen Hackern beim Erstellen gefälschter Lebensläufe,dentund Schadsoftware
Diese Strategie beschränkte sich nicht auf Südkorea. Im August gab das KI-Unternehmen Anthropic bekannt, nordkoreanische Hacker entdeckt zu haben, die mithilfe seines Claude-Code-Modells Bewerbungen für Remote-Jobs bei US-amerikanischen Fortune-500-Unternehmen abwickelten.
Die Hacker nutzten Claude, um Programmier-Interviews zu bestehen, vollständige Arbeitsverläufe zu erstellen und sogar nach der Einstellung technische Aufgaben zu übernehmen. Die Operation ermöglichte Nordkorea direkten Zugriff auf Unternehmenssysteme in den USA, ohne Firewalls überwinden zu müssen.
Im Februar sperrte OpenAI Konten mit Verbindungen zu Nordkorea, die mithilfe seiner Tools gefälschte Lebensläufe, Anschreiben und Social-Media-Beiträge erstellt hatten. Diese Profile waren darauf ausgelegt, Menschen – bewusst oder unbewusst – zur Unterstützung der Kampagnen des Regimes zu verleiten.
Mun Chong-hyun, Direktor bei Genians, sagte, diese neuen Techniken zeigten, wie Nordkorea KI mittlerweile in jede Phase des Hacking-Prozesses integriert habe, von der Planung und Werkzeugerstellung bis hin zu Phishing und Identitätsdiebstahl.
„Angreifer können KI nutzen, um Szenarien zu entwerfen, Schadsoftware zu schreiben und sich sogar als Personalwerber auszugeben“, sagte Mun. Die US-Regierung erklärte, dass Nordkoreas Cyberaktivitäten Teil einer größeren Operation seien.
Sie glauben, dass das Regime in Pjöngjang Hacking, Kryptodiebstahl und Schatten-IT-tracnutzt, um Daten zu sammeln, Informationen zu gewinnen und Gelder zu generieren, um sein Atomwaffenprogramm zu unterstützen und gleichzeitig internationale Sanktionen zu umgehen.
Bereits 2020 veröffentlichte das US-Heimatschutzministerium eine offizielle Warnung, in der Kimsuky als jemand beschrieben wurde, der „höchstwahrscheinlich vom nordkoreanischen Regime mit einer globalen Aufklärungsmission beauftragt wurde“
Die Gruppe ist seit 2012 aktiv und konzentriert ihre Angriffe auf außenpolitische Experten, Denkfabriken und Regierungsbehörden in Südkorea, Japan und den Vereinigten Staaten.
Meistens nutzen sie Spear-Phishing-E-Mails, um in Systeme einzudringen, sensible Informationen zutracund hochrangige Diskussionen über Nuklearstrategie, Sanktionen und regionale Sicherheit trac.
US-amerikanische und südkoreanische Beamte warnen vor zunehmender Bedrohung
Der Genians- Bericht bestätigte zudem, dass die jüngsten Opfer gezielt ausgewählt wurden. Die Hacker hatten es auf Personen mit tron Verbindungen zu Themen rund um Nordkorea abgesehen, darunter Aktivisten, Journalisten und Verteidigungsforscher. Wie viele Geräte tatsächlich kompromittiert wurden, ist weiterhin unklar.
Dass sie aber in der Lage waren, eine südkoreanische Militär-E-Mail-Domain zu fälschen und Schadsoftware in eine scheinbar harmlose Nachricht einzuschleusen, zeigt, wie gefährlich diese Methode ist.
Im Zuge der Ermittlungen versuchten die Genians, die Methode der Hacker mithilfe von ChatGPT selbst nachzubilden. Ihr Experiment bestätigte, dass Angreifer die Schutzmechanismen von ChatGPT, die illegale Inhalte wie gefälschte Ausweise blockieren sollen, durch geringfügige sprachliche Änderungen umgehen konnten.
Das Endergebnis war eine Ausweisvorlage, die erst verdächtig aussah, als es zu spät war.
CISA, FBI und CNMF haben alle, die in sensiblen Bereichen mit Bezug zu Nordkorea arbeiten, dazu aufgerufen, ihre Sicherheitsvorkehrungen zu verstärken. Sie warnten davor, dass Kimsuky weiterhin Phishing, gefälschte Recruiter-Profile und gefälschte Domains nutzt, um in Netzwerke einzudringen.
Zu ihren wichtigsten Vorschlägen gehören die Aktivierung der Multi-Faktor-Authentifizierung, die Durchführung von Schulungen zur Sensibilisierung für Phishing-Angriffe und die EinrichtungtronFilter für verdächtige E-Mails.
Die US-Geheimdienste betonen seit langem, dass Cyberoperationen mittlerweile eines der wichtigsten Instrumente Nordkoreas zur Umgehung von Sanktionen sind.
