Hackers a serviço do Estado norte-coreano usam deepfakes em chamadas do Zoom para invadir empresas de criptomoedas

Hackers norte-coreanos estão visando empresas de criptomoedas com diversos malwares exclusivos, implantados juntamente com vários golpes, incluindo reuniões falsas no Zoom. 

O grupo de ameaças cibernéticas UNC1069, ligado à Coreia do Norte, foi observado visando o setor de criptomoedas para roubar dados sensíveis de sistemas Windows e macOS, com o objetivo final de facilitar roubos financeiros.

O grupo UNC1069 foi considerado ativo desde abril de 2018. Ele possui um histórico de realização de campanhas de engenharia social para obter ganhos financeiros, utilizando convites falsos para reuniões e se passando por investidores de empresas conceituadas. 

Uma chamada falsa do Zoom lançou um ataque de malware contra uma empresa de criptomoedas

Em seu relatório mais recente, pesquisadores do Google Mandiant detalharam sua investigação sobre uma intrusão direcionada a uma empresa de tecnologia financeira (FinTech) do setor de criptomoedas. Segundo os investigadores, a intrusão começou com o comprometimento de uma conta do Telegram pertencente a um executivo do setor de criptomoedas. 

Os atacantes usaram o perfil comprometido para contatar a vítima. Gradualmente, conquistaram a confiança dela antes de enviar um convite do Calendly para uma reunião por vídeo. O link da reunião direcionava o alvo para um domínio falso do Zoom hospedado em infraestrutura controlada pelos criminosos.

Durante a chamada, a vítima relatou ter visto o que parecia ser um vídeo deepfake de um CEO de outra empresa de criptomoedas.

“Embora a Mandiant não tenha conseguido recuperar provas forenses para verificar de forma independentedentuso de modelos de IA neste caso específico, a fraude relatada é semelhante a um incidente divulgado anteriormentedent características similares, no qual também teriam sido usados ​​deepfakes”, afirmou.

Os atacantes criaram a impressão de problemas de áudio na reunião para justificar o próximo passo. Eles instruíram a vítima a executar comandos de solução de problemas em seu dispositivo. Esses comandos, adaptados para sistemas macOS e Windows, iniciaram secretamente a cadeia de infecção. Como resultado, vários componentes de malware foram ativados.

A Mandiantdentsete tipos distintos de malware usados ​​durante o ataque. As ferramentas foram projetadas para acessar o chaveiro e roubar senhas, recuperar cookies do navegador e informações de login, acessar informações de sessão do Telegram e obter outros arquivos privados.

Os investigadores avaliaram que o objetivo era duplo: possibilitar o roubo de criptomoedas e coletar dados que pudessem dar suporte a futuros ataques de engenharia social. A investigação revelou um volume excepcionalmente grande de ferramentas instaladas em um único computador. 

Grupos de fraudes vinculados à IA demonstram maior eficiência operacional

Odent faz parte de um padrão mais amplo. Atores ligados à Coreia do Norte desviaram mais de 300 milhões de dólares fingindo ser figuras confiáveis ​​do setor durante reuniões fraudulentas no Zoom e no Microsoft Teams.

A escala da atividade ao longo do ano foi ainda mais impressionante. Conforme relatado pela Cryptopolitan, grupos de ameaças norte-coreanos foram responsáveis ​​pelo roubo de US$ 2,02 bilhões em ativos digitais em 2025, um aumento de 51% em relação ao ano anterior.

A Chainalysis também revelou que grupos de golpistas ligados a provedores de serviços de IA apresentam maior eficiência operacional do que aqueles sem tais vínculos. Segundo a empresa, essa tendência sugere um futuro em que a IA se tornará um componente padrão da maioria das operações de golpes.

Em um relatório publicado em novembro passado, o Google Threat Intelligence Group (GTIG) observou o uso de ferramentas de inteligência artificial (IA) generativa, como o Gemini, por parte dos agentes maliciosos. Eles as utilizam para produzir materiais de isca e outras mensagens relacionadas a criptomoedas como parte de seus esforços para apoiar suas campanhas de engenharia social.

Pelo menos desde 2023, o grupo passou de técnicas de spear-phishing e de ataques ao setor financeiro tradicional (TradFi) para o setor da Web3, como corretoras centralizadas (CEX), desenvolvedores de software em instituições financeiras, empresas de alta tecnologia e indivíduos em fundos de capital de risco.

Google.

Observou-se também que o grupo tenta usar indevidamente o Gemini para desenvolver código para roubar criptoativos. Eles também utilizam imagens deepfake e vídeos que imitam indivíduos da indústria de criptomoedas em suas campanhas para distribuir um backdoor chamado BIGMACHO às vítimas, fazendo-o passar por um kit de desenvolvimento de software (SDK) do Zoom.