Злоумышленники, связанные с КНДР, активизируют кампании социальной инженерии, нацеленные на криптовалютные и финтех-компании, используя новое вредоносное ПО, разработанное для сбора конфиденциальных данных и кражи цифровых активов.
В ходе недавней кампании группа угроз, отслеживаемая как UNC1069, развернула семь семейств вредоносных программ, предназначенных для захвата и утечки данных жертв, согласно отчету, опубликованному во вторник компанией Mandiant, американской компанией в области кибербезопасности, работающей под эгидой Google Cloud.
Кампания основывалась на схемах социальной инженерии, включающих взломанные учетные записи Telegram и поддельные Zoom-встречи с использованием дипфейк-видео, созданных с помощью инструментов искусственного интеллекта.
“В ходе расследования был выявлен целенаправленный взлом, приведший к развертыванию семи уникальных семейств вредоносных программ, включая новый набор инструментов, разработанный для захвата данных хоста и жертвы: SILENCELIFT, DEEPBREATH и CHROMEPUSH”, – говорится в отчете.
Цепочка атак злоумышленника UNC1069. Источник: Mandiant/Google Cloud
Mandiant заявила, что эта активность представляет собой расширение операций группы, в основном направленных на криптовалютные компании, разработчиков программного обеспечения и венчурные предприятия.
В состав вредоносного ПО вошли два недавно обнаруженных, сложных вируса для добычи данных, названные CHROMEPUSH и DEEPBREATH, которые предназначены для обхода ключевых компонентов операционной системы и получения доступа к личным данным.
Связанный с КНДР злоумышленник отслеживается Mandiant с 2018 года, но достижения в области ИИ помогли злоумышленнику масштабировать свою деятельность и впервые в ноябре 2025 года включить «приманки на основе ИИ в активные операции», согласно отчету Google Threat Intelligence Group, опубликованному в то время.
Cointelegraph обратился в Mandiant за дополнительной информацией об атрибуции, но не получил ответа к моменту публикации.
Злоумышленники крадут аккаунты основателей криптокомпаний для запуска атак ClickFix
В одном из взломов, описанных Mandiant, злоумышленники использовали скомпрометированную учетную запись Telegram, принадлежащую основателю криптокомпании, для установления контакта. Жертву пригласили на Zoom-встречу с фальсифицированной видеозаписью, на которой злоумышленник утверждал, что испытывает проблемы со звуком.
Затем злоумышленник попросил пользователя выполнить команды устранения неполадок в своей системе, чтобы исправить предполагаемую проблему со звуком в мошенничестве, известном как атака ClickFix.
Предоставленные команды устранения неполадок содержали скрытую одиночную команду, которая инициировала цепочку заражения, согласно Mandiant.
Карта жертв UNC1069. Источник: Mandiant/Google Cloud
Злоумышленники, связанные с КНДР, представляют собой постоянную угрозу как для криптоинвесторов, так и для компаний Web3.
В июне 2025 года четверо северокорейских оперативников проникли в несколько криптовалютных компаний в качестве фрилансеров-разработчиков, похитив в общей сложности 900 000 долларов у этих стартапов, как ранее сообщал Cointelegraph.
Ранее в том же году группировка Lazarus была связана с взломом Bybit на сумму 1,4 миллиарда долларов, что стало одним из крупнейших крипто-взломов за всю историю.
