Severní Korea v poslední době využívá falešné hovory přes Zoom s podporou umělé inteligence, aby napadla profily v sektoru kryptoměn a během několika minut vyprázdnila jejich peněženky. Jak může pouhá videokonference stačit k tomu, aby převzala úplnou kontrolu nad vašimi zařízeními a obešla ostražitost i těch nejzkušenějších?
Rozsáhlý program s cílem naplnit veřejné účty
Od začátku roku 2020 provádí Severní Korea globální operaci infiltrace podniků pomocí své armády „falešných teleworkerů“ v rámci programu generování příjmů pro vládu. Zdá se, že část této pracovní síly byla nedávno přeřazena do zcela nové kampaně sociálního inženýrství, která se tentokrát zaměřuje na sektor kryptoměn.
🚨 VAROVÁNÍ (OPĚT)
Hrozby ze strany KLDR stále postihují příliš mnoho z vás prostřednictvím falešných schůzek na Zoomu / Teams.
Převzali kontrolu nad vašimi telegramy – a používají je k napadání všech vašich přátel.
Touto metodou již ukradli přes 300 milionů dolarů.
Přečtěte si to. Zastavte tento cyklus. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13. prosince 2025
V poslední době bylo odcizeno téměř 300 milionů dolarů, uvádí Taylor Monahan (známější pod přezdívkou Tayvano), bezpečnostní výzkumník ve společnosti MetaMask.
Způsob fungování je poměrně dobře známý a zdokumentovaný, protože Microsoft Threat Intelligence tyto aktivity sleduje od roku 2024. Útočník nejprve ukradne konzistentní a legitimní profil podle cíle, na který se zaměřuje. Poté kolem tohoto ukradeného profilu vytvoří celý digitální ekosystém (zprávy, sociální sítě, profily GitHub nebo LinkedIn), aby si vybudoval legitimní digitální otisk.
Poté využije umělou inteligenci (AI) k vložení obrázku svého zdrojového profilu do obrázků a videí, které slouží jeho účelům. Používá také VPN, VPS, proxy služby a nástroje RMM, aby zamaskoval svou geolokaci a skutečnou digitální identitu.
To nám nedávno potvrdila také Clarisse Hagège, zakladatelka společnosti Dfns, která nám svěřila, že byla terčem pokusu o vniknutí ze strany tří severokorejských hackerů.
Dále zdůrazňuje, že sektor kryptoměn je v rámci strategie Severní Koreje preferovaným cílem. Celý rozhovor najdete v našem podcastu:
Uchazeči musí uvést alespoň 3 reference ze svých předchozích zaměstnání. Lidé na to často zapomínají, ale funguje to velmi dobře.
Sociální inženýrství využívající platformy jako Teams nebo Zoom
Tato strategie je dnes recyklována a zaměřena na nové cíle. Jak popisuje Taylor Monahan, útok má svůj původ v napadení legitimního účtu Telegram. Cílovými účty jsou často investoři rizikového kapitálu nebo přednášející, tedy profily, které mohou využít naši zaujatost vůči autoritám.
Poté, co pečlivě analyzují historii konverzací své první oběti, aby podpořili svou legendu, využijí již navázané kontakty. Ty budou přesměrovány na schůzky Zoom nebo Teams prostřednictvím zamaskovaného odkazu Calendly.
🇰🇵 Aktuální události – Severní Korea údajně stojí za hackem Upbitu v hodnotě 30 milionů dolarů
Na videu oběť komunikuje s recyklovanou nahrávkou podcastu nebo veřejného vystoupení autority. Díky chytrému využití umělé inteligence vypadá video stream legitimně.
Útočník poté simuluje problémy se zvukem nebo videem. Požádá svou oběť, aby si stáhla SDK, které mu umožní obnovit připojení. Ten nasadí škodlivý skript, který nainstaluje malware na počítač cíle. Tento trojský kůň poskytuje úplnou kontrolu nad počítačem oběti a dává úplný přístup k peněženkám cíle.
Posílení provozní bezpečnosti a ostražitost
Abyste se před tímto typem hrozeb ochránili, je nezbytné mít ve svých komunikačních aplikacích silné (silné heslo) a vícefaktorové (aplikace MFA a 2FA) ověřování.
Je také důležité si uvědomit, že při konverzaci s vaším protějškem musíte vědět, kdo vám píše (autenticita), musíte vědět, že to, co vám píše, nebylo pozměněno (autenticita), a musíte se ujistit, že nikdo jiný neví, o čem jste si vyměnili zprávy (důvěrnost).
Nikdy nestahujte datové balíčky, pokud si nejste jisti jejich integritou a legitimitou. Pokud tomu tak není, můžete je otevřít ve vyhrazeném virtuálním stroji a zkontrolovat jejich obsah.
A konečně, v případě kompromitace vašeho účtu Telegram smažte svůj prostor a upozorněte své kontakty, abyste je varovali a přerušili řetězec podvodů.
Buďte ostražití a mějte na paměti, že vaše antropologické fungování vás vystavuje kognitivním zkreslením (zkreslení autoritou, zkreslení známostí, zkreslení naléhavostí…). Pokud jsou tato zkreslení zneužita, pravděpodobně se stanete obětí.
