Korea Północna wykorzystuje ostatnio fałszywe połączenia Zoom wspomagane sztuczną inteligencją, aby wyłudzać dane osób związanych z branżą kryptowalut i opróżniać ich portfele w ciągu kilku minut. Jak zwykła wideokonferencja może wystarczyć, aby przejąć całkowitą kontrolę nad Twoimi urządzeniami i ominąć czujność nawet najbardziej doświadczonych użytkowników?
Szeroko zakrojony program mający na celu zasilenie kont publicznych
Od początku 2020 roku Korea Północna prowadzi globalną operację infiltracji przedsiębiorstw dzięki armii „fałszywych telepracowników” w ramach programu generowania dochodów dla rządu. Wydaje się, że część tej siły roboczej została ostatnio przeniesiona do zupełnie nowej kampanii inżynierii społecznej, tym razem skierowanej do sektora kryptowalut.
🚨 OSTRZEŻENIE (PONOWNIE)
Podmioty zagrażające z KRLD nadal oszukują zbyt wielu z was za pomocą fałszywych spotkań na Zoomie / Teams.
Przejmują wasze konta na Telegramie i wykorzystują je do oszukiwania wszystkich waszych znajomych.
W ten sposób ukradli już ponad 300 milionów dolarów.
Przeczytajcie to. Przerwijcie ten cykl. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13 grudnia 2025 r.
Ostatnio skradziono prawie 300 milionów dolarów, wyjaśnia Taylor Monahan (lepiej znany pod pseudonimem Tayvano), badacz bezpieczeństwa w MetaMask.
Sposób działania jest dość dobrze znany i udokumentowany, ponieważ od 2024 roku Microsoft Threat Intelligence obserwuje tę działalność. Atakujący zaczyna od kradzieży spójnego i wiarygodnego profilu w zależności od wybranego celu. Następnie tworzy cały ekosystem cyfrowy wokół skradzionego profilu (komunikatory, sieci społecznościowe, profile GitHub lub LinkedIn), aby ustanowić wiarygodny ślad cyfrowy.
Następnie wykorzystuje sztuczną inteligencję (AI) do umieszczenia zdjęcia ze swojego profilu źródłowego na zdjęciach i filmach służących jego celom. Wykorzystuje również VPN, VPS, usługi proxy i narzędzia RMM, aby ukryć swoją geolokalizację i prawdziwą tożsamość cyfrową.
Podobną informację przekazała nam niedawno Clarisse Hagège, założycielka Dfns, która wyznała, że była celem próby włamania przeprowadzonej przez trzech hakerów z Korei Północnej.
Podkreśla ona również, że sektor kryptowalut stanowi preferowany cel w strategii Korei Północnej. Pełny wywiad można znaleźć w naszym podcaście:
Kandydaci muszą podać co najmniej 3 referencje dotyczące swoich poprzednich miejsc pracy. Ludzie często o tym zapominają, ale to bardzo dobrze działa.
Kampania socjotechniczna wykorzystująca platformy takie jak Teams lub Zoom
Strategia ta jest obecnie ponownie wykorzystywana i ukierunkowana na nowe cele. Jak opisuje Taylor Monahan, atak ma swoje źródło w przejęciu legalnego konta Telegram. Celami ataków są często inwestorzy venture capital lub prelegenci, czyli osoby, które mogą wykorzystać nasze nastawienie na autorytety.
Po dokładnej analizie historii rozmów swojej pierwszej ofiary w celu stworzenia wiarygodnej historii, wykorzystują oni już nawiązane kontakty. Ofiary są kierowane na spotkania Zoom lub Teams za pomocą ukrytego linku Calendly.
🇰🇵 Aktualności – Korea Północna prawdopodobnie stoi za włamaniem do Upbit o wartości 30 milionów dolarów
Na filmie ofiara wchodzi w interakcję z ponownie wykorzystanym nagraniem podcastu lub publicznego wystąpienia osoby sprawującej władzę. Dzięki inteligentnemu wykorzystaniu sztucznej inteligencji strumień wideo wydaje się autentyczny.
Następnie atakujący symuluje problemy z dźwiękiem lub obrazem. Prosi ofiarę o pobranie zestawu SDK, który pozwoli mu przywrócić połączenie. Zestaw ten uruchamia złośliwy skrypt, instalując złośliwe oprogramowanie na komputerze ofiary. Ten trojan zapewnia pełną kontrolę nad komputerem ofiary, dając całkowity dostęp do portfeli ofiary.
Wzmocnienie bezpieczeństwa operacyjnego i zachowanie czujności
Aby zabezpieczyć się przed tego typu zagrożeniami, należy koniecznie stosować silne uwierzytelnianie (silne hasło) i uwierzytelnianie wieloskładnikowe (aplikacja MFA i 2FA) w aplikacjach komunikacyjnych.
Należy również pamiętać, że podczas rozmowy z rozmówcą należy wiedzieć, kto do nas pisze (autentyczność), mieć pewność, że treść wiadomości nie została zmieniona (autentyczność) oraz upewnić się, że nikt inny nie ma wglądu w treść rozmowy (poufność).
Ponadto nigdy nie należy pobierać pakietów danych, jeśli nie ma pewności co do ich integralności i legalności. W przeciwnym razie można je otworzyć w dedykowanej maszynie wirtualnej w celu sprawdzenia ich zawartości.
Wreszcie, w przypadku naruszenia bezpieczeństwa konta Telegram, usuń swoją przestrzeń i powiadom swoje kontakty, aby ich ostrzec i przerwać łańcuch oszustw.
Zachowaj czujność i pamiętaj, że Twoje antropologiczne funkcjonowanie naraża Cię na błędy poznawcze (błąd autorytetu, błąd znajomości, błąd pilności…). Kiedy są one wykorzystywane, prawdopodobnie padniesz ich ofiarą.
