Hackerská skupina napojená na Severnú Kóreu bola odhalená, ako používa umelú inteligenciu (AI) na vytváranie deepfake obrázkov juhokórejských vojenských preukazov totožnosti. Tieto falzifikáty boli súčasťou cielenej spear-phishingovej kampane s cieľom oklamať vplyvné obete a prinútiť ich spustiť škodlivý softvér. Skupina Kimsuky použila ChatGPT na vytvorenie deepfake vojenských preukazov vo phishingovej kampani. Pri útoku boli znovu použité staršie taktiky ako ClickFix, zakamuflované skripty a malvér AutoIt, ktoré sú navrhnuté tak, aby vyzerali neškodne a bežne (napríklad ako vyskakovacie okná alebo aktualizácie), no v skutočnosti sú škodlivé. Tentoraz však hackeri sponzorovaní severokórejským štátom použili AI na generovanie falošných dávok juhokórejských vojenských preukazov, čím sa lákadlá stali presvedčivejšími.
Čítajte viac Severokórejské podvody s IT pracovníkmi sa rozširujú do Európy a Japonska
Všetko sa začalo 17. júla 2025, keď obete dostali e-maily, ktoré vyzerali ako oficiálna žiadosť o kontrolu návrhov ID kariet pre zamestnancov juhokórejskej armády, uviedlo Genians Security Center (GSC) vo svojej správe. E-maily obsahovali články o severokórejských výmenných kurzoch a inflácii, ako aj správu Národného zhromaždenia o obvineniach zo stanného práva počas vlády Yoon Suk-yeola. Dostali ich výskumníci špecializujúci sa na Severnú Kóreu, aktivisti za ľudské práva, novinári, ktorí sa zvyčajne venujú súvisiacim témam, a ľudia, ktorých práca súvisí s obrannými záležitosťami. E-maily tiež obsahovali archívny súbor .zip, v ktorom bol skrytý odkaz, ktorý po otvorení spustil skryté príkazy. Tieto príkazy:
- Využívali systémové premenné na ukrytie škodlivého kódu.
- Dekódovali zamaskované znaky do funkčného príkazu PowerShell.
- Pripojili sa k serverom riadeným útočníkmi (C2 servery) umiestneným v Južnej Kórei a Francúzsku.
- Stiahli falošný súbor s obrázkom preukazu a dávkový skript, ktorý následne nainštaloval ďalší malvér.
Čítajte viac FBI obvinila Severnú Kóreu z krádeže kryptomien za rekordných 1,5 miliardy dolárov
Výskumníci z GSC analyzovali obrázky ID kariet a zistili, že boli vygenerované umelou inteligenciou pomocou ChatGPT. Tento incident je tiež prezentovaný ako súčasť širšieho vzorca zneužívania AI. V auguste vydala spoločnosť Anthropic správu, v ktorej varovala, že severokórejskí IT pracovníci používajú AI na vytváranie falošných životopisov, identít a vzoriek technickej práce, aby získali zamestnanie v zahraničí, kde môžu zarábať vyššie platy a zároveň špehovať pre Severnú Kóreu. Niektoré z týchto pokusov viedli k bizarným pohovorom, kde „kandidáti“ používali AI filtre alebo dokonca celé videá generované AI, ktoré sa akože zúčastňovali na stretnutí. Juhokórejské ministerstvo zahraničných vecí varovalo spoločnosti v krajine pred rizikom krádeží a podvodov a informovalo ich o právnych sankciách, ak sa im nepodarí týchto pracovníkov odhaliť a nakoniec ich zamestnajú.
Čítajte viac Jedna z piatich malých firiem nemá žiadne kybernetické zabezpečenie
Experti tvrdia, že tieto prípady ukazujú, ako hackeri sponzorovaní štátom čoraz viac využívajú AI na vykonávanie špionážnych operácií, páchanie podvodov a obchádzanie medzinárodných sankcií. Podľa správy Bloomberg z roku 2020 americké Ministerstvo pre vnútornú bezpečnosť uviedlo, že skupina Kimsuky „je s najväčšou pravdepodobnosťou poverená severokórejským režimom globálnou misiou zberu spravodajských informácií.“ Kampaň bola spojená so skupinou Kimsuky (známou aj ako Emerald Sleet a Velvet Chollima), čo je dlhodobo pôsobiaca severokórejská hackerská skupina APT (Advanced Persistent Threat). To znamená, že skupina používa pokročilý a dokonca aj vlastný malvér, aby sa udržala v napadnutých sieťach a kradla dáta alebo špehovala po dlhú dobu. Ich obeťami sú zvyčajne významní hráči, ako napríklad vládne inštitúcie alebo dôležité infraštruktúry.
Čítajte viac NSA spolupracuje s kybernetickými firmami na podpore obranných dodávateľov s obmedzenými zdrojmi
Tentoraz sa skupina Kimsuky prezradila podobnými taktikami, ktoré použila aj v minulosti. Napríklad takzvaná metóda ClickFix napodobňuje bezpečnostné upozornenia CAPTCHA z juhokórejských portálov. Správa uvádza, že obete, ktoré kliknú na vyskakovacie okno, nevedomky spustia skryté príkazy PowerShell a dávkové skripty. Výskumníci zistili, že v júlovej operácii s deepfake preukazmi bol opätovne použitý rovnaký malvér ako pri skorších útokoch ClickFix. Skupina Kimsuky je známa organizovaním kybernetických špionážnych útokov, ktoré sa zameriavajú na juhokórejské vládne subjekty, think-tanky a jednotlivcov.
