Un grupo de piratas informáticos respaldado por Corea del Norte llamado Kimsuky utilizó ChatGPT para crear una identificación militar surcoreana falsa y lanzó un ataque de phishing dirigido a periodistas, investigadores y trabajadores de derechos humanos, según la empresa de ciberseguridad Genians.
El correo electrónico que contenía la identificación deepfake contenía malware diseñado para robar información de los dispositivos de los destinatarios. Esta campaña forma parte de un patrón más amplio de ciberoperaciones norcoreanas que utilizan IA para realizar espionaje global.
El correo electrónico de phishing estaba camuflado para que pareciera provenir de una cuenta militar real, terminando en .mil.kr. No incluía foto adjunta ni imagen del documento de identidad. En cambio, contenía una carga útil oculta, lista para infectar el sistema del objetivo.
Los investigadores confirmaron que la identificación militar falsa se generó mediante ChatGPT tras eludir las restricciones de la plataforma. Al solicitar la generación directa de la identificación, la herramienta se negó inicialmente. Sin embargo, los investigadores lograron eludir el bloqueo modificando la redacción del mensaje.
Una vez reescrito el mensaje, el sistema generó un borrador convincente, suficiente para incitar a las víctimas a hacer clic en el malware incorporado.
Las herramientas de IA ayudan a los piratas informáticos norcoreanos a crear currículums falsos,dentfalsas y malware
La misma estrategia no se limitó a Corea del Sur. En agosto, la empresa de inteligencia artificial Anthropic afirmó haber descubierto que hackers norcoreanos utilizaban su modelo Claude Code para solicitar empleos remotos en empresas estadounidenses de la lista Fortune 500.
Los hackers usaron a Claude para aprobar entrevistas de programación, crear historiales laborales completos e incluso realizar tareas técnicas tras su contratación. La operación permitió a Corea del Norte acceder directamente a los sistemas corporativos dentro de EE. UU. sin necesidad de atravesar ningún cortafuegos.
En febrero, OpenAI prohibió cuentas vinculadas a Corea del Norte que habían utilizado sus herramientas para crear currículums, cartas de presentación y publicaciones en redes sociales falsos. Estos perfiles estaban diseñados para engañar a la gente para que colaborara en las campañas del régimen, consciente o inconscientemente.
Mun Chong-hyun, director de Genians, dijo que estas nuevas técnicas muestran cómo Corea del Norte ahora ha integrado la IA en cada etapa del proceso de piratería, desde la planificación y la creación de herramientas hasta el phishing y la suplantación de identidad.
“Los atacantes pueden usar IA para mapear escenarios, crear malware e incluso hacerse pasar por reclutadores”, afirmó Mun. El gobierno estadounidense ha afirmado que los esfuerzos cibernéticos de Corea del Norte forman parte de una operación mayor.
Creen que el régimen de Pyongyang está utilizando piratería informática, robo de criptomonedas ytracinformáticos ocultos para recopilar datos, reunir inteligencia y generar fondos para apoyar su programa de armas nucleares mientras elude las sanciones internacionales.
En 2020, el Departamento de Seguridad Nacional de Estados Unidos emitió un aviso formal que describía a Kimsuky como “muy probablemente encargado por el régimen norcoreano de una misión global de recopilación de inteligencia”
El grupo ha estado activo desde 2012 y ha centrado sus ataques en expertos en política exterior, centros de estudios y agencias gubernamentales de Corea del Sur, Japón y Estados Unidos.
La mayoría de las veces, utilizan correos electrónicos de phishing para ingresar a los sistemas,tracinformación confidencial y tracdiscusiones de alto nivel sobre estrategia nuclear, sanciones y seguridad regional.
Funcionarios estadounidenses y surcoreanos advierten sobre una creciente amenaza
El informe también confirmó que las últimas víctimas fueron cuidadosamente seleccionadas. Los hackers atacaron a personas con fuertes tron con Corea del Norte, como activistas, periodistas e investigadores de defensa. Aún se desconoce cuántos dispositivos fueron realmente comprometidos.
Pero el hecho de que pudieran falsificar un dominio de correo electrónico militar de Corea del Sur e insertar malware en un mensaje aparentemente inofensivo muestra lo peligroso que es este método.
Durante la investigación, los Genians intentaron replicar el método de los hackers usando ChatGPT. Su experimento confirmó que, si bien ChatGPT está diseñado para bloquear contenido ilegal, como identificaciones gubernamentales falsas, los atacantes lograron sortearlo con pequeños cambios en el lenguaje.
El resultado final fue una plantilla de identificación que no parecía sospechosa hasta que fue demasiado tarde.
La CISA, el FBI y la CNMF han instado a quienes trabajan en áreas sensibles relacionadas con Corea del Norte a reforzar su seguridad. Advirtieron que Kimsuky sigue utilizando phishing, cuentas de reclutadores falsas y dominios falsificados para infiltrarse en las redes.
Sus principales sugerencias incluyen habilitar la autenticación multifactor, implementar capacitación sobre concientización sobre phishing y configurar filtros mástronpara correos electrónicos sospechosos.
La comunidad de inteligencia estadounidense ha dicho durante mucho tiempo que las operaciones cibernéticas son ahora una de las principales herramientas de Corea del Norte para eludir las sanciones.
