Secondo l'azienda di sicurezza informatica Genians, un gruppo di hacker sostenuto dalla Corea del Nord chiamato Kimsuky ha utilizzato ChatGPT per creare un falso documento d'identità militare sudcoreano e ha lanciato un attacco di phishing contro giornalisti, ricercatori e operatori dei diritti umani.
L'e-mail con l'ID deepfake conteneva un malware progettato per rubare informazioni dai dispositivi dei destinatari. Questa campagna fa parte di un più ampio schema di operazioni informatiche nordcoreane che utilizzano l'intelligenza artificiale per condurre attività di spionaggio globale.
L'email di phishing era camuffata per sembrare proveniente da un vero account militare, con estensione .mil.kr. Non c'era alcuna foto allegata, né un'immagine del documento d'identità. Al suo posto, c'era un payload nascosto pronto a infettare il sistema del bersaglio.
Genians ha confermato che il falso documento d'identità militare è stato generato utilizzando ChatGPT dopo aver aggirato le restrizioni della piattaforma. Quando è stato chiesto di generare direttamente il documento d'identità, lo strumento inizialmente ha rifiutato. Ma i ricercatori sono riusciti a bypassare il blocco modificando la modalità di scrittura del prompt.
Una volta riscritto il prompt, il sistema ha prodotto una bozza convincente, sufficiente a indurre le vittime a cliccare sul malware incorporato.
Gli strumenti di intelligenza artificiale aiutano gli hacker nordcoreani a creare falsi curriculum,dente malware
La stessa strategia non si è limitata alla Corea del Sud. Ad agosto, l'azienda di intelligenza artificiale Anthropic ha dichiarato di aver scoperto che degli hacker nordcoreani utilizzavano il suo modello Claude Code per candidarsi a lavori da remoto presso aziende statunitensi della classifica Fortune 500.
Gli hacker hanno utilizzato Claude per superare colloqui di programmazione, creare cronologie lavorative complete e persino svolgere incarichi tecnici dopo essere stati assunti. L'operazione ha permesso alla Corea del Nord di accedere direttamente ai sistemi aziendali negli Stati Uniti senza dover superare alcun firewall.
A febbraio, OpenAI ha bloccato gli account legati alla Corea del Nord che avevano utilizzato i suoi strumenti per creare falsi curriculum, lettere di presentazione e post sui social media. Questi profili erano stati progettati per indurre le persone a sostenere le campagne del regime, consapevolmente o meno.
Mun Chong-hyun, direttore di Genians, ha affermato che queste nuove tecniche dimostrano come la Corea del Nord abbia ormai integrato l'intelligenza artificiale in ogni fase del processo di hacking, dalla pianificazione e creazione degli strumenti fino al phishing e all'impersonificazione.
"Gli aggressori possono usare l'intelligenza artificiale per mappare scenari, creare malware e persino fingere di essere reclutatori", ha affermato Mun. Il governo degli Stati Uniti ha affermato che gli sforzi informatici della Corea del Nord fanno parte di un'operazione più ampia.
Ritengono che il regime di Pyongyang stia utilizzando l'hacking, il furto di criptovalute etracinformatici ombra per raccogliere dati, raccogliere informazioni e generare fondi per sostenere il suo programma di armi nucleari, eludendo al contempo le sanzioni internazionali.
Nel 2020, il Dipartimento per la sicurezza interna degli Stati Uniti ha emesso un avviso formale in cui descriveva Kimsuky come "molto probabilmente incaricato dal regime nordcoreano di una missione di raccolta di informazioni a livello globale"
Il gruppo è attivo dal 2012 e ha concentrato i suoi attacchi contro esperti di politica estera, think tank e agenzie governative in Corea del Sud, Giappone e Stati Uniti.
Nella maggior parte dei casi, utilizzano e-mail di spear phishing per ottenere l'accesso ai sistemi,tracinformazioni sensibili e tracdiscussioni di alto livello su strategia nucleare, sanzioni e sicurezza regionale.
Funzionari statunitensi e sudcoreani mettono in guardia contro una minaccia crescente
Il rapporto ha anche confermato che le ultime vittime sono state scelte con cura. Gli hacker hanno preso di mira persone con forti tron con le questioni legate alla Corea del Nord, come attivisti, giornalisti e ricercatori nel campo della difesa. Non è ancora noto quanti dispositivi siano stati effettivamente compromessi.
Ma il fatto che siano riusciti a falsificare un dominio di posta elettronica militare sudcoreano e a inserire un malware in un messaggio apparentemente innocuo dimostra quanto sia pericoloso questo metodo.
Durante l'indagine, i Genians hanno provato a replicare il metodo degli hacker utilizzando ChatGPT. Il loro esperimento ha confermato che, sebbene ChatGPT sia progettato per bloccare contenuti illegali come falsi documenti d'identità governativi, gli aggressori sono comunque riusciti a eluderlo con piccole modifiche al linguaggio.
Il risultato finale è stato un modello di documento d'identità che non è apparso sospetto finché non è stato troppo tardi.
CISA, FBI e CNMF hanno ora invitato chiunque lavori in settori sensibili legati alla Corea del Nord a rafforzare le misure di sicurezza. Hanno avvertito che Kimsuky continua a utilizzare phishing, falsi account di reclutamento e domini falsi per accedere alle reti.
I loro suggerimenti principali includono l'abilitazione dell'autenticazione a più fattori, l'implementazione di corsi di formazione sulla sensibilizzazione al phishing e l'impostazione di filtritronper le e-mail sospette.
L'intelligence statunitense sostiene da tempo che le operazioni informatiche sono ormai uno degli strumenti principali della Corea del Nord per aggirare le sanzioni.
