В последнее время Северная Корея использует поддельные звонки Zoom с искусственным интеллектом, чтобы заманить в ловушку представителей криптовалютного сектора и опустошить их кошельки за считанные минуты. Как простая видеоконференция может быть достаточной, чтобы полностью взять под контроль ваши устройства и обойти бдительность даже самых опытных пользователей?
Масштабная программа, направленная на пополнение государственных счетов
С начала 2020 года Северная Корея проводит глобальную операцию по проникновению в компании с помощью своей армии «поддельных удаленных работников» в рамках программы по генерации доходов для правительства. Похоже, что часть этой рабочей силы недавно была перенаправлена на совершенно новую кампанию социальной инженерии, на этот раз нацеленную на сектор криптовалют.
🚨 ПРЕДУПРЕЖДЕНИЕ (СНОВА)
Злоумышленники из КНДР по-прежнему обманывают слишком многих из вас с помощью поддельных встреч в Zoom / Teams.
Они захватывают ваши Telegram-аккаунты и используют их, чтобы обмануть всех ваших друзей.
С помощью этого метода они уже украли более 300 миллионов долларов.
Прочитайте это. Остановите этот цикл. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13 декабря 2025 г.
По словам Тейлора Монахана (более известного под псевдонимом Tayvano), исследователя в области безопасности в MetaMask, в последнее время было похищено около 300 миллионов долларов.
Способ действий достаточно хорошо известен и задокументирован, поскольку с 2024 года Microsoft Threat Intelligence наблюдает за этой деятельностью. Злоумышленник сначала крадет подходящий и легитимный профиль в зависимости от выбранной цели. Затем он создает целую цифровую экосистему вокруг украденного профиля (мессенджеры, социальные сети, профили GitHub или LinkedIn), чтобы создать легитимный цифровой след.
Затем искусственный интеллект (ИИ) используется для наложения изображения исходного профиля на изображения и видео, которые служат их целям. Они также используют VPN, VPS, прокси-сервисы и инструменты RMM, чтобы скрыть свое географическое положение и настоящую цифровую идентичность.
Об этом же недавно рассказала нам Кларис Хагеж, основательница Dfns, которая призналась, что стала целью попытки взлома со стороны трех северокорейских хакеров.
Она также подчеркивает, что сектор криптовалют является приоритетной целью в стратегии Северной Кореи. Полное интервью можно найти в нашем подкасте:
Кандидаты должны предоставить как минимум 3 рекомендации о своих предыдущих местах работы. Люди часто забывают об этом, но это очень хорошо работает.
Кампания по социальной инженерии с использованием таких платформ, как Teams или Zoom
Сегодня эта стратегия переработана и направлена на новые цели. Как описывает Тейлор Монахан, атака начинается с взлома легитимного аккаунта Telegram. Целями таких атак часто становятся венчурные инвесторы или докладчики — люди, которые могут использовать наше стремление к авторитету.
После тщательного анализа истории разговоров своей первой жертвы, чтобы подкрепить свою легенду, они используют уже установленные контакты. Последние будут направлены на встречи в Zoom или Teams через замаскированную ссылку Calendly.
🇰🇵 В новостях — Северная Корея, возможно, стоит за взломом Upbit на 30 миллионов долларов
На видео жертва взаимодействует с переработанной записью подкаста или публичного выступления авторитетного лица. Благодаря умному использованию ИИ видеопоток выглядит легитимным.
Затем злоумышленник имитирует проблемы со звуком или видео. Он просит жертву загрузить SDK, позволяющий восстановить соединение. SDK запускает вредоносный скрипт, устанавливающий вредоносное ПО на компьютер жертвы. Этот троянский конь предоставляет полный контроль над компьютером жертвы, давая полный доступ к кошелькам жертвы.
Усильте свою операционную безопасность и будьте бдительны
Чтобы защитить себя от подобных угроз, крайне важно использовать надежную аутентификацию (надежный пароль) и многофакторную аутентификацию (приложения MFA и 2FA) в ваших коммуникационных приложениях.
Кроме того, важно помнить, что во время разговора с собеседником вы должны знать, кто вам пишет (подлинность), вы должны знать, что то, что он вам пишет, не было изменено (подлинность), и вы должны убедиться, что никто другой не знает о вашем обмене сообщениями (конфиденциальность).
Кроме того, никогда не загружайте пакеты данных, если вы не уверены в их целостности и законности. Если это не так, вы можете открыть их в специальной виртуальной машине, чтобы проверить их содержимое.
Наконец, в случае взлома вашего аккаунта Telegram удалите его и предупредите своих контактов, чтобы прервать цепочку мошенничества.
Будьте бдительны и помните, что ваша антропологическая природа подвергает вас когнитивным искажениям (искажение авторитета, искажение знакомства, искажение срочности…). Когда эти искажения используются, вы, вероятно, становитесь жертвой.
