Um grupo de hackers apoiado pela Coreia do Norte, chamado Kimsuky, usou o ChatGPT para criar uma identidade militar falsa da Coreia do Sul e lançou um ataque de phishing direcionado a jornalistas, pesquisadores e ativistas de direitos humanos, de acordo com a empresa de segurança cibernética Genians.
O e-mail com o ID falso continha um malware desenvolvido para roubar informações dos dispositivos dos destinatários. Essa campanha faz parte de um padrão mais amplo de operações cibernéticas norte-coreanas que utilizam inteligência artificial para realizar espionagem global.
O e-mail de phishing foi disfarçado para parecer que vinha de uma conta militar legítima, terminando em .mil.kr. Não havia nenhum anexo de foto, nem imagem da identificação. Em vez disso, havia um código malicioso oculto pronto para infectar o sistema do alvo.
Os pesquisadores confirmaram que o documento de identidade militar falso foi gerado usando o ChatGPT , após contornarem as restrições da plataforma. Quando solicitado a gerar o documento diretamente, a ferramenta inicialmente recusou. Mas os pesquisadores conseguiram contornar o bloqueio alterando a forma como a mensagem era escrita.
Após a reformulação do texto, o sistema gerou uma versão convincente, suficiente para atrair as vítimas a clicarem no malware embutido.
Ferramentas de IA ajudam hackers norte-coreanos a criar currículos falsos,dentfalsas e malware
A mesma estratégia não se limitou à Coreia do Sul. Em agosto, a empresa de IA Anthropic afirmou ter descoberto hackers norte-coreanos usando seu modelo Claude Code para se candidatar a vagas de emprego remoto em empresas americanas da lista Fortune 500.
Os hackers usaram Claude para passar em entrevistas de programação, criar históricos de trabalho completos e até mesmo realizar tarefas técnicas após serem contratados. A operação deu à Coreia do Norte acesso direto a sistemas corporativos dentro dos EUA sem precisar ultrapassar nenhum firewall.
Em fevereiro, a OpenAI proibiu contas ligadas à Coreia do Norte que usaram suas ferramentas para criar currículos, cartas de apresentação e publicações em redes sociais falsas. Esses perfis foram criados para enganar pessoas e levá-las a ajudar as campanhas do regime, consciente ou inconscientemente.
Mun Chong-hyun, diretor da Genians, afirmou que essas novas técnicas demonstram como a Coreia do Norte integrou a IA em todas as etapas do processo de invasão cibernética, desde o planejamento e a criação de ferramentas até o phishing e a falsificação de identidade.
“Os atacantes podem usar IA para mapear cenários, escrever malware e até mesmo se passar por recrutadores”, disse Mun. O governo dos EUA afirmou que os esforços cibernéticos da Coreia do Norte fazem parte de uma operação maior.
Eles acreditam que o regime em Pyongyang está usando hackers, roubo de criptomoedas etracde TI paralelos para coletar dados, obter informações e gerar fundos para apoiar seu programa de armas nucleares, enquanto burla as sanções internacionais.
Em 2020, o Departamento de Segurança Interna dos EUA emitiu um alerta formal descrevendo Kimsuky como alguém que "muito provavelmente foi incumbido pelo regime norte-coreano de uma missão global de coleta de informações"
O grupo está ativo desde 2012 e tem concentrado seus ataques em especialistas em política externa, centros de estudos e agências governamentais na Coreia do Sul, Japão e Estados Unidos.
Na maioria das vezes, eles usam e-mails de spearphishing para obter acesso a sistemas,tracinformações confidenciais e tracdiscussões de alto nível sobre estratégia nuclear, sanções e segurança regional.
Autoridades dos EUA e da Coreia do Sul alertam para o aumento da ameaça
O relatório também confirmou que as vítimas mais recentes foram escolhidas criteriosamente. Os hackers visaram pessoas com fortes tron a questões relacionadas à Coreia do Norte, como ativistas, jornalistas e pesquisadores da área de defesa. Ainda não se sabe quantos dispositivos foram de fato comprometidos.
Mas o fato de terem conseguido falsificar um domínio de e-mail militar sul-coreano e inserir malware em uma mensagem aparentemente inofensiva demonstra o quão perigoso esse método é.
Durante a investigação, a Genians tentou replicar o método dos hackers usando o ChatGPT. O experimento confirmou que, embora o ChatGPT seja projetado para bloquear conteúdo ilegal, como documentos de identidade falsos emitidos pelo governo, os atacantes ainda conseguiam contorná-lo com pequenas alterações na linguagem.
O resultado final foi um modelo de documento de identidade que não pareceu suspeito até que fosse tarde demais.
A CISA, o FBI e a CNMF alertaram todos os que trabalham em áreas sensíveis relacionadas à Coreia do Norte para que reforcem sua segurança. Eles advertiram que Kimsuky continua usando phishing, contas falsas de recrutadores e domínios falsificados para invadir redes.
Suas principais sugestões incluem habilitar a autenticação multifatorial, implementar treinamentos de conscientização sobre phishing e configurar filtros maistronpara e-mails suspeitos.
A comunidade de inteligência dos EUA afirma há muito tempo que as operações cibernéticas são agora uma das principais ferramentas da Coreia do Norte para contornar as sanções.
