Deepfake vezérigazgatók, hamis Zoom-hívások és milliárdos kriptolopások – új szintre léptek az észak-koreai hackerek

Az észak-koreai állami támogatású hackerek ismét szintet léptek: mesterséges intelligenciával készített deepfake videókat kombinálnak eddig ismeretlen kártevőkkel, hogy kriptovalutát lopjanak – derül ki a Google leányvállalatának, a Mandiantnek 2026. február 8-án közzétett jelentéséből.

A jelentés szerint az UNC1069 kódnéven követett csoport különösen kifinomult támadási láncot használ. A módszer egyszerre technikai és pszichológiai – vagyis nemcsak a számítógépet, hanem az embert is megtámadják.

Így néz ki a támadás lépésről lépésre

A folyamat szinte filmszerű:

• Feltörik egy kriptocég-vezető Telegram-fiókját.
• A megszerzett identitással kapcsolatba lépnek a célponttal.
• Küldenek egy Calendly-meghívót egy videóhívásra.
• A link egy hamis, támadók által kontrollált Zoom-oldalra visz.
• A hívásban egy deepfake videó jelenik meg, amely egy kriptocég vezérigazgatójának tűnik.
• A „vezérigazgató” a hívás során technikai problémát szimulál (például hanghiba), majd arra kéri az áldozatot, hogy futtasson bizonyos „hibaelhárító” parancsokat.
• Valójában ezek a parancsok indítják el a fertőzést.

Mivel a felhasználó saját kezűleg engedélyezi a folyamatot, a rendszer sokszor nem jelez riasztást. Ez az úgynevezett „ClickFix” típusú manipuláció: az áldozat maga nyitja ki az ajtót.

Új malware-eszközök a háttérben

A Mandiant hét különböző kártevőcsaládot azonosított a kampányban, köztük három új eszközt:

• SILENCELIFT
• DEEPBREATH
• CHROMEPUSH

A Swift nyelven írt DEEPBREATH különösen veszélyes: közvetlenül módosítja a macOS Transparency, Consent, and Control adatbázisát, hogy széles körű hozzáférést szerezzen a fájlrendszerhez. Ezután adatokat gyűjt többek között:

• Keychain hitelesítő adatok
• Chrome, Brave és Edge böngészőadatok
• Telegram-felhasználói adatok
• Apple Notes tartalmak
• kriptotárcák információi

Vagyis gyakorlatilag mindent, ami pénzhez vagy további hozzáférésekhez vezethet.

AI mint fegyver

A Google Threat Intelligence Group szerint az UNC1069 nemcsak deepfake videókhoz használ mesterséges intelligenciát, hanem:

• kriptolopó kód fejlesztésére
• adathalász szkriptek írására
• hamis szoftverfrissítési üzenetek generálására

Egy 2025. novemberi jelentésben így fogalmaztak: „Megfigyeltük, hogy az UNC1069 a Geminit használja csali anyagok előállítására social engineering támadásokhoz, kriptovaluta-lopásra szolgáló kód fejlesztésére, valamint szoftverfrissítéseket megszemélyesítő hamis utasítások készítésére a felhasználói hitelesítő adatok megszerzése céljából.” Vagyis az AI nemcsak marketing- és programozóeszköz – hanem támadási platform is lehet.

A nagyobb kép: milliárdos károk

Az UNC1069-et a Mandiant 2018 óta figyeli. A csoport 2023 körül fordult rá erőteljesen a Web3-iparágra: centralizált kriptotőzsdéket, fejlesztőket és kockázatitőke-befektetőket céloznak. Átfedést mutatnak a BlueNoroff és TA444 néven ismert klaszterekkel, amelyeket több nagy horderejű támadáshoz kötöttek, köztük:

• Bybit
• Axie Infinity

A Chainalysis adatai szerint Észak-Koreához köthető hackerek 2025-ben legalább 2,02 milliárd dollár értékű kriptovalutát loptak el. Ez az adott év összes szolgáltatás elleni támadásának 76%-át jelentette. Csak a 2025 februári Bybit elleni támadás 1,5 milliárd dollárt tett ki.

Miért különösen veszélyes ez?

A Mandiant szerint a vizsgált incidensben szokatlanul sok eszközt telepítettek egyetlen gépre. Ez arra utal, hogy nemcsak azonnali pénzszerzés volt a cél, hanem:

• minél több adat begyűjtése
• jövőbeli támadások előkészítése
• további social engineering kampányok megalapozása

Más szóval: nem egyszeri rablás, hanem hosszú távú művelet.

Mit jelent ez a gyakorlatban?

A támadások már nem csak technikai résekre építenek. Egy deepfake videóban szereplő „vezérigazgató” ma már meggyőzőbb lehet, mint egy adathalász email. A biztonság tehát nemcsak tűzfal és vírusirtó kérdése, hanem:

• videóazonosítás
• többcsatornás hitelesítés
• gyanús kérések független ellenőrzése

Az AI korszakában a legnagyobb kockázat gyakran nem a rendszer hibája – hanem az, hogy az ember hisz annak, amit lát és hall. És most már azt sem lehet biztosan tudni, hogy az valódi-e.

FORRÁS

(Nethuszár)