حمله‌های فیشینگ پیشرفته کره شمالی به صنعت کریپتو با استفاده از دیپ‌فیک و جلسات جعلی

گروه‌های هکری وابسته به کره شمالی با استفاده از تکنیک‌های مهندسی اجتماعی پیشرفته، جلسات ویدیویی جعلی و دیپ‌فیک‌های تولیدشده با هوش مصنوعی، هدف قرار دادن شرکت‌های فعال در صنعت ارزهای دیجیتال را تشدید کرده‌اند. گزارش جدید ماندیانت، تیم امنیتی گوگل، جزئیات یک حمله موفق را فاش کرده که در آن از یک تماس زوم تقلبی و ویدیوی جعلی یک مدیرعامل شناخته‌شده برای فریب قربانی استفاده شده است. این حملات در حالی رخ می‌دهند که سرقت‌های کریپتویی مرتبط با کره شمالی در سال ۲۰۲۵ از مرز ۲ میلیارد دلار عبور کرده است.

نکات کلیدی

– گروه هکری UNC1069 (CryptoCore) با اطمینان بالا به کره شمالی مرتبط است و هدف آن شرکت‌های مالی و افراد فعال در صنعت کریپتو است.
– مهاجمان از حساب‌های تلگرام به‌سرقت‌رفته، لینک‌های جعلی جلسات کالندی و تماس‌های ویدیویی زوم تقلبی برای فریب قربانیان استفاده می‌کنند.
– در یکی از حملات، قربانی در طول یک جلسه ویدیویی جعلی، دیپ‌فیک ویدیویی یک مدیرعامل سرشناس حوزه کریپتو را مشاهده کرده است.
– تکنیک «ClickFix» برای وادار کردن قربانی به اجرای دستورات مخرب با بهانه عیب‌یابی صدا استفاده شده است.
– تحلیل‌گران در سیستم قربانی، هفت خانواده مختلف بدافزار را شناسایی کردند که برای سرقت اعتبارنامه‌ها، داده‌های مرورگر و توکن‌های نشست طراحی شده بودند.
– سرقت‌های کریپتویی مرتبط با کره شمالی در سال ۲۰۲۵ به ۲.۰۲ میلیارد دلار رسید که افزایش ۵۱ درصدی نسبت به سال قبل را نشان می‌دهد.
– کارشناسان هشدار می‌دهند که هویت‌های دیجیتال مورد اعتماد در حال تبدیل شدن به ضعیف‌ترین حلقه زنجیره امنیتی هستند.

جزئیات یک حمله هدفمند و پیچیده

بر اساس گزارش منتشرشده توسط ماندیانت، بخش امنیتی گوگل، حمله اخیر علیه یک شرکت فین‌تک با دقت و پیچیدگی قابل توجهی طراحی و اجرا شده است. این حمله که به گروه تهدید UNC1069 نسبت داده می‌شود، با یک تماس اولیه در تلگرام آغاز شد. مهاجم از یک حساب تلگرام به‌سرقت‌رفته متعلق به یک مدیر اجرایی شناخته‌شده در صنعت کریپتو استفاده کرد تا با قربانی ارتباط برقرار کرده و اعتماد او را جلب کند.

پس از ایجاد رابطه، مهاجم یک لینک از سرویس کالندی برای یک جلسه ۳۰ دقیقه‌ای ارسال کرد. این لینک، قربانی را به یک تماس ویدیویی زوم جعلی هدایت کرد که روی زیرساخت‌های خود گروه هکری میزبانی می‌شد. نقطه اوج این حمله، استفاده از یک دیپ‌فیک ویدیویی تولیدشده با هوش مصنوعی بود. قربانی گزارش داده که در طول این تماس جعلی، تصویر به ظاهر واقعی یک مدیرعامل سرشناس حوزه ارزهای دیجیتال را دیده است.

با شروع جلسه، مهاجمان ادعا کردند که مشکلات صوتی وجود دارد و از قربانی خواستند تا دستورات «عیب‌یابی» خاصی را در ترمینال سیستم خود اجرا کند. این تکنیک که به نام ClickFix شناخته می‌شود، در نهایت منجر به اجرای کدهای مخرب و آلوده شدن سیستم قربانی شد. تحلیل‌های بعدی، حضور هفت خانواده مجزا از بدافزار را در سیستم قربانی تأیید کرد که هدف آن‌ها جمع‌آوری اطلاعات حساس مانند گذرواژه‌ها، تاریخچه مرورگر و توکن‌های احراز هویت برای سرقت مالی و عملیات جعل هویت در آینده بود.

روند رو به رشد سرقت‌های کریپتویی کره شمالی

این هشدار امنیتی در حالی مطرح می‌شود که آمار سرقت‌های ارز دیجیتال مرتبط با کره شمالی به طور پیوسته در حال افزایش است. شرکت تحلیل‌گر بلاک‌چین چین‌الایسیز در اواسط دسامبر اعلام کرد که هکرهای وابسته به کره شمالی در سال ۲۰۲۵ موفق به سرقت ۲.۰۲ میلیارد دلار ارز دیجیتال شده‌اند. این رقم، افزایش ۵۱ درصدی را نسبت به سال ۲۰۲۴ نشان می‌دهد.

نکته جالب توجه این است که این افزایش عظیم در ارزش دارایی‌های سرقت‌شده، در حالی رخ داده که تعداد کلی حملات گزارش‌شده کاهش یافته است. این موضوع نشان‌دهنده یک تغییر استراتژی کلان است. به جای تکیه بر کمپین‌های فیشینگ انبوه و گسترده، گروه‌هایی مانند CryptoCore تمرکز خود را بر روی حملات بسیار هدفمند و سفارشی‌شده گذاشته‌اند.

این حملات، از اعتماد موجود در تعاملات دیجیتال روزمره، مانند دعوت‌های تقویمی و تماس‌های ویدیویی، سوءاستفاده می‌کنند. در نتیجه، کره شمالی با انجام تعداد کمتری حمله، اما با دقت و تأثیرگذاری بسیار بالاتر، موفق به سرقت مقادیر بسیار بزرگتری از دارایی‌های دیجیتال شده است. کل مبلغ سرقت‌شده توسط بازیگران مرتبط با کره شمالی اکنون به حدود ۶.۷۵ میلیارد دلار می‌رسد.

دیپ‌فیک و سوءاستفاده از اعتماد در تعاملات دیجیتال

فرازر ادواردز، مدیرعامل و بنیان‌گذار شرکت cheqd، در تحلیل این حملات تأکید می‌کند که اثربخشی این روش از اینجا ناشی می‌شود که تقریباً هیچ چیز در آن غیرعادی به نظر نمی‌رسد. فرستنده آشناست، فرمت جلسه کاملاً معمولی است، هیچ فایل ضمیمه مخربی وجود ندارد و اعتماد قربانی قبل از اینکه هرگونه دفاع فنی فرصت مداخله داشته باشد، مورد سوءاستفاده قرار می‌گیرد.

به گفته ادواردز، ویدیوی دیپ‌فیک معمولاً در نقاط حساس و بحرانی تعامل، مانند تماس‌های زنده، معرفی می‌شود. دیدن یک چهره آشنا روی دوربین می‌تواند تردیدهای ایجادشده به دلیل درخواست‌های غیرمنتظره یا مشکلات فنی را از بین ببرد. هدف از این کار، یک تعامل طولانی‌مدت نیست، بلکه ایجاد حداقل میزان واقع‌نمایی لازم برای وادار کردن قربانی به برداشتن گام بعدی است.

او هشدار می‌دهد که هوش مصنوعی اکنون برای پشتیبانی از جعل هویت در خارج از تماس‌های زنده نیز استفاده می‌شود. از هوش مصنوعی برای نگارش پیام‌ها، تصحیح لحن صدا و تقلید از شیوه معمول ارتباط یک فرد با همکاران یا دوستانش استفاده می‌شود. این امر، تشخیص پیام‌های معمولی و روزمره را دشوارتر کرده و احتمال اینکه گیرنده مکث کند و صحت تعامل را تأیید نماید، کاهش می‌دهد.

آینده نگران‌کننده: عامل‌های هوش مصنوعی و مقیاس‌پذیری حملات

ادواردز نسبت به افزایش بیشتر این ریسک در آینده نزدیک هشدار می‌دهد. با معرفی عامل‌های هوش مصنوعی در فرآیندهای روزمره ارتباطی و تصمیم‌گیری، چالش‌های امنیتی جدیدی پدیدار خواهند شد. این عامل‌ها می‌توانند با سرعت ماشین، پیام ارسال کنند، تماس تنظیم نمایند و به نمایندگی از کاربران عمل کنند.

اگر این سیستم‌ها مورد سوءاستفاده قرار گیرند یا به خطر بیفتند، دیپ‌فیک‌های صوتی و ویدیویی می‌توانند به صورت خودکار مستقر شوند. این امر، جعل هویت را از یک فرآیند دستی و پرزحمت، به یک عملیات مقیاس‌پذیر و خودکار تبدیل می‌کند. در چنین سناریویی، دامنه و تأثیر حملات می‌تواند به طور نمایی افزایش یابد.

به باور ادواردز، این «غیرواقعی» است که انتظار داشته باشیم کاربران معمولی بدانند چگونه یک دیپ‌فیک را شناسایی کنند. راه حل، درخواست از کاربران برای دقت بیشتر نیست، بلکه ساخت سیستم‌هایی است که به طور پیش‌فرض از آن‌ها محافظت می‌کنند. این به معنای بهبود روش‌های نشان‌گذاری و تأیید اصالت است، به طوری که کاربران بتوانند به سرعت تشخیص دهند که یک محتوا واقعی است، مصنوعی است یا تأییدنشده باقی مانده، بدون اینکه مجبور باشند تنها به غریزه، آشنایی یا بررسی دستی متکی باشند.