Il settore delle criptovalute si trova ad affrontare una nuova e sofisticata minaccia informatica che combina intelligenza artificiale, deepfake e tecniche di ingegneria sociale avanzate. Google ha individuato un gruppo di hacker nordcoreano, identificato come UNC1069, che sta orchestrando una campagna di attacchi mirati utilizzando strumenti di nuova generazione capaci di sfruttare l'AI per ingannare persino gli utenti più esperti. La tattica principale prevede l'utilizzo di account compromessi per inviare inviti Zoom falsificati, dietro i quali si nascondono versioni deepfake di CEO e dirigenti del settore crypto.
La metodologia d'attacco documentata da Google rivela un livello di complessità senza precedenti. Una volta ottenuto l'accesso a un account legittimo, gli hacker inviano inviti calendario contenenti link a una versione contraffatta di Zoom. Quando la vittima accetta la chiamata, si trova di fronte non a una persona reale, ma a un deepfake estremamente convincente del proprietario dell'account compromesso, spesso rappresentante un CEO di un'altra azienda operante nel settore delle criptovalute. Questa tecnica consente agli attaccanti di condurre conversazioni apparentemente autentiche, creando un livello di fiducia sufficiente per portare a termine l'inganno.
Il gruppo UNC1069 ha sviluppato e implementato ben sette nuove famiglie di malware specificamente progettate per questa campagna. Gli obiettivi primari includono società di software e i loro sviluppatori, venture capital firms e i loro dirigenti, tutti operanti nell'ecosistema delle criptovalute. La strategia ha un duplice scopo: da un lato il furto diretto di asset digitali, dall'altro l'acquisizione di identità e dati delle vittime per alimentare future campagne di ingegneria sociale ancora più elaborate.
Particolarmente preoccupante è l'utilizzo di strumenti di intelligenza artificiale commerciali per perfezionare gli attacchi. Google ha confermato che Gemini è stato utilizzato dal gruppo per sviluppare strumenti, condurre ricerche operative e assistere nelle fasi di ricognizione degli obiettivi, prima che l'account associato venisse terminato. Non si tratta di un caso isolato: Kaspersky ha rilevato che un altro gruppo di hacker, BlueNoroff, sta sfruttando GPT per migliorare la qualità delle immagini utilizzate negli attacchi, rendendo ancora più credibili i materiali fraudolenti presentati alle vittime.
La scoperta solleva interrogativi importanti sulla sicurezza dei modelli di AI generativa e sul loro potenziale utilizzo malevolo. Mentre le aziende sviluppatrici implementano salvaguardie per prevenire abusi, gli attori delle minacce dimostrano crescente creatività nell'aggirare tali misure o nell'utilizzare account legittimi prima che vengano identificati e bloccati. La catena di attacco documentata richiede comunque un accesso iniziale a un account compromesso, evidenziando l'importanza delle misure di sicurezza di base come l'autenticazione a due fattori e la gestione attenta delle credenziali.
