Em resumo
- Atores norte-coreanos estão atacando a indústria de criptografia com ataques de phishing usando deepfakes de IA e reuniões falsas do Zoom, alertou o Google.
- Mais de US$ 2 bilhões em criptografia foram roubados por hackers da RPDC em 2025.
- Os especialistas alertam que as identidades digitais confiáveis estão se tornando o elo mais fraco.
A equipe de segurança do Google na Mandiant alertou que hackers norte-coreanos estão incorporando deepfakes gerados por inteligência artificial em videoconferências falsas como parte de ataques cada vez mais sofisticados contra empresas de criptografia, de acordo com um relatório divulgado na segunda-feira.
A Mandiant disse que investigou recentemente uma intrusão em uma empresa fintech que atribui ao UNC1069, ou “CryptoCore”, um ator de ameaça ligado com alta confiança à Coreia do Norte. O ataque usou uma conta comprometida do Telegram, uma reunião Zoom falsificada e uma técnica chamada ClickFix para induzir a vítima a executar comandos maliciosos. Os investigadores também encontraram evidências de que o vídeo gerado por IA foi usado para enganar o alvo durante a reunião falsa.
“A Mandiant observou o UNC1069 empregando essas técnicas para atingir entidades corporativas e indivíduos na indústria de criptomoedas, incluindo empresas de software e seus desenvolvedores, bem como empresas de capital de risco e seus funcionários ou executivos”, disse o relatório.
Campanha de roubo de criptografia da Coreia do Norte
O aviso surge no momento em que a Coreia do Norte criptomoeda os roubos continuam a crescer em escala. Em meados de dezembro, a empresa de análise de blockchain Chainalysis disse que hackers norte-coreanos roubaram US$ 2,02 bilhões em criptomoedas em 2025, um aumento de 51% em relação ao ano anterior. O montante total roubado por intervenientes ligados à RPDC ascende agora a cerca de 6,75 mil milhões de dólares, apesar de o número de ataques ter diminuído.
As descobertas destacam uma mudança mais ampla na forma como os cibercriminosos ligados ao Estado operam. Em vez de depender de campanhas de phishing em massa, a CryptoCore e grupos semelhantes estão a concentrar-se em ataques altamente personalizados que exploram a confiança nas interações digitais de rotina, como convites de calendário e videochamadas. Desta forma, a Coreia do Norte está a conseguir roubos maiores através de menos incidentes e mais direccionados.
Segundo a Mandiant, o ataque começou quando a vítima foi contatada no Telegram pelo que parecia ser um conhecido executivo da criptomoeda cuja conta já havia sido comprometida. Depois de construir o relacionamento, o invasor enviou um link do Calendly para uma reunião de 30 minutos que direcionou a vítima para uma chamada falsa do Zoom hospedada na própria infraestrutura do grupo. Durante a ligação, a vítima relatou ter visto o que parecia ser um vídeo deepfake de um conhecido CEO da criptografia.
Assim que a reunião começou, os invasores alegaram que havia problemas de áudio e instruíram a vítima a executar comandos de “solução de problemas”, uma técnica ClickFix que desencadeou a infecção por malware. Posteriormente, a análise forense identificou sete famílias distintas de malware no sistema da vítima, implantadas em uma aparente tentativa de coletar credenciais, dados do navegador e tokens de sessão para roubo financeiro e futura falsificação de identidade.
Personificação deepfake
Fraser Edwards, cofundador e CEO da empresa de identidade descentralizada cheqd, disse que o ataque reflete um padrão que ele vê repetidamente contra pessoas cujos empregos dependem de reuniões remotas e coordenação rápida. “A eficácia desta abordagem vem do quão pouco tem que parecer incomum”, disse Edwards.
“O remetente é familiar. O formato da reunião é rotineiro. Não há anexo de malware ou exploração óbvia. A confiança é aproveitada antes que qualquer defesa técnica tenha a chance de intervir.”
Edwards disse que o vídeo deepfake normalmente é introduzido em pontos de escalonamento, como chamadas ao vivo, onde ver um rosto familiar pode anular dúvidas criadas por solicitações inesperadas ou problemas técnicos. “Ver o que parece ser uma pessoa real diante das câmeras muitas vezes é suficiente para superar dúvidas criadas por uma solicitação inesperada ou problema técnico. O objetivo não é uma interação prolongada, mas apenas realismo suficiente para levar a vítima para a próxima etapa”, disse ele.
Ele acrescentou que a IA agora está sendo usada para oferecer suporte à representação fora de chamadas ao vivo. “Ele é usado para redigir mensagens, corrigir o tom de voz e espelhar a maneira como alguém normalmente se comunica com colegas ou amigos. Isso torna as mensagens rotineiras mais difíceis de questionar e reduz a chance de um destinatário fazer uma pausa longa o suficiente para verificar a interação”, explicou.
Edwards alertou que o risco aumentará à medida que os agentes de IA forem introduzidos na comunicação diária e na tomada de decisões. “Os agentes podem enviar mensagens, agendar chamadas e agir em nome dos usuários na velocidade da máquina. Se esses sistemas forem abusados ou comprometidos, áudio ou vídeo deepfake podem ser implantados automaticamente, transformando a representação de um esforço manual em um processo escalável”, disse ele.
É “irrealista” esperar que a maioria dos usuários saiba como detectar um deepfake, disse Edwards, acrescentando que “a resposta não é pedir aos usuários que prestem mais atenção, mas construir sistemas que os protejam por padrão. Isso significa melhorar a forma como a autenticidade é sinalizada e verificada, para que os usuários possam entender rapidamente se o conteúdo é real, sintético ou não verificado, sem depender de instinto, familiaridade ou investigação manual”.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
