Criminosos cibernéticos da Coreia do Norte usam deepfakes de IA para sequestrar criptomoedas

Nova tática de ciberataques da equipe ligada à Coreia do Norte

Especialistas do Google revelaram o funcionamento de um grupo hacker (UNC1069), supostamente sob controle das autoridades norte-coreanas. Desde 2018, eles usam inteligência artificial para criar novos conjuntos de ferramentas e esquemas de engenharia social direcionados a cidadãos e funcionários de empresas de criptomoedas.

Como funciona o ataque
1. Invasão da conta

Os hackers obtêm acesso a uma conta existente (geralmente em redes sociais ou e‑mail).

2. Lançamento da videoconferência

Através dessa conta, enviam ao alvo um link para uma sessão do Zoom.

3. Reunião deepfake

Dentro da chamada aparece um vídeo com rosto falso – por exemplo, “diretor executivo de outra empresa de criptomoedas”. Isso é criado com IA e parece tão realista que a maioria das pessoas não perceberá a farsa.

4. “Manutenção” passo a passo

O deepfake relata problemas técnicos e pede ao usuário para executar uma série de ações em seu computador. As instruções contêm comandos maliciosos que lançam backdoors e programas para roubo de dados.

5. Obtenção do material valioso

Após seguir as instruções, os atacantes obtêm acesso a informações confidenciais e podem potencialmente furtar criptomoedas.

Arsenal tecnológico
- Gemini (assistente de IA) – usado para gerar código, simular atualizações de software e preparar instruções.

- GPT‑4o da OpenAI – utilizado pelo grupo BlueNoroff para melhorar imagens que convencem os usuários sobre a autenticidade do convite.

O Google chamou essa técnica de “engenharia social com uso de IA” e identificou sete novas famílias de malware envolvidas no ataque.

Objetivos e consequências
- Roubo de criptomoedas – principal motivação financeira.

- Coleta de dados pessoais – cria uma base para campanhas futuras de engenharia social.

- Ataques ao setor – alvos incluem desenvolvedores de software, firmas de venture capital e seus executivos.

Uma das contas vinculadas ao grupo foi bloqueada pelo Google depois que os atacantes usaram o Gemini para desenvolver ferramentas de inteligência.

Assim, UNC1069 demonstra como as tecnologias modernas de IA permitem que hackers criem ataques altamente eficazes e difíceis de distinguir contra públicos-alvo no setor de criptomoedas.