Theo một báo cáo được công bố hôm thứ Hai, nhóm bảo mật của Google tại Mandiant đã cảnh báo rằng tin tặc Triều Tiên đang kết hợp các video giả mạo do trí tuệ nhân tạo tạo ra vào các cuộc họp video giả mạo như một phần của các cuộc tấn công ngày càng tinh vi nhằm vào các công ty tiền điện tử.
Mandiant cho biết gần đây họ đã điều tra một vụ xâm nhập vào một công ty fintech mà họ cho là do UNC1069, hay "CryptoCore", một nhóm tin tặc được cho là có liên hệ mật thiết với Triều Tiên gây ra. Vụ tấn công đã sử dụng một tài khoản Telegram bị xâm nhập, một cuộc họp Zoom giả mạo và kỹ thuật ClickFix để lừa nạn nhân chạy các lệnh độc hại. Các nhà điều tra cũng tìm thấy bằng chứng cho thấy video do AI tạo ra đã được sử dụng để đánh lừa mục tiêu trong cuộc họp giả mạo.
"Mandiant đã quan sát thấy UNC1069 sử dụng các kỹ thuật này để nhắm mục tiêu vào cả các thực thể doanh nghiệp và cá nhân trong ngành công nghiệp tiền điện tử, bao gồm các công ty phần mềm và các nhà phát triển của họ, cũng như các công ty Quỹ đầu tư mạo hiểm và nhân viên hoặc giám đốc điều hành của họ," báo cáo cho biết.
Cảnh báo này được đưa ra trong bối cảnh các vụ đánh cắp tiền điện tử của Triều Tiên tiếp tục gia tăng về quy mô. Giữa tháng 12, công ty phân tích blockchain Chainalysis cho biết tin tặc Triều Tiên đã đánh cắp 2,02 tỷ đô la tiền điện tử trong năm 2025, tăng 51% so với năm trước. Tổng số tiền bị đánh cắp bởi các đối tượng có liên hệ với CHDC Triều Tiên hiện nay vào khoảng 6,75 tỷ đô la, ngay cả khi số lượng các cuộc tấn công đã giảm.
Những phát hiện này làm nổi bật một sự thay đổi rộng hơn trong cách thức hoạt động của tội phạm mạng liên kết với nhà nước. Thay vì dựa vào các chiến dịch lừa đảo trực tuyến quy mô lớn, CryptoCore và các nhóm tương tự đang tập trung vào các cuộc tấn công được thiết kế riêng, khai thác sự tin tưởng trong các tương tác kỹ thuật số thường ngày, chẳng hạn như lời mời tham dự sự kiện và cuộc gọi video. Bằng cách này, Triều Tiên đang đạt được những vụ trộm lớn hơn thông qua ít vụ việc hơn nhưng có mục tiêu chính xác hơn.
Theo Mandiant, vụ tấn công bắt đầu khi nạn nhân được liên lạc qua Telegram bởi một người dường như là giám đốc điều hành tiền điện tử nổi tiếng, người mà tài khoản đã bị xâm phạm trước đó. Sau khi tạo dựng mối quan hệ, kẻ tấn công đã gửi một LINK (Chainlink) Calendly cho một cuộc họp 30 phút, dẫn nạn nhân đến một cuộc gọi Zoom giả mạo được tổ chức trên cơ sở hạ tầng của nhóm này. Trong cuộc gọi, nạn nhân cho biết đã nhìn thấy một video dường như là video giả mạo (deepfake) của một CEO tiền điện tử nổi tiếng.
Khi cuộc họp bắt đầu, những kẻ tấn công tuyên bố có vấn đề về âm thanh và hướng dẫn nạn nhân chạy các lệnh "khắc phục sự cố", một kỹ thuật của ClickFix mà cuối cùng đã kích hoạt sự lây nhiễm phần mềm độc hại. Phân tích pháp y sau đó đã xác định bảy họ phần mềm độc hại khác nhau trên hệ thống của nạn nhân, được triển khai trong một nỗ lực rõ ràng nhằm thu thập thông tin đăng nhập, dữ liệu trình duyệt và mã thông báo phiên để đánh cắp tài chính và mạo danh trong tương lai.
Fraser Edwards, đồng sáng lập kiêm CEO của công ty nhận dạng phi tập trung cheqd, cho biết vụ tấn công phản ánh một mô hình mà ông đang lặp đi lặp lại nhắm vào những người mà công việc của họ phụ thuộc vào các cuộc họp từ xa và sự phối hợp nhanh chóng. "Hiệu quả của phương pháp này đến từ việc chỉ cần một vài dấu hiệu nhỏ cũng đủ khiến người ta nghĩ rằng nó bất thường", Edwards nói.
“Người gửi quen thuộc. Hình thức cuộc họp thường lệ. Không có tệp đính kèm phần mềm độc hại hoặc lỗ hổng bảo mật rõ ràng. Lòng tin được tận dụng trước khi bất kỳ biện pháp phòng vệ kỹ thuật nào có cơ hội can thiệp.”
Edwards cho biết video deepfake thường được đưa vào ở những thời điểm leo thang căng thẳng, chẳng hạn như các cuộc gọi trực tiếp, nơi việc nhìn thấy một khuôn mặt quen thuộc có thể xóa tan những nghi ngờ nảy sinh từ các yêu cầu bất ngờ hoặc sự cố kỹ thuật. “Việc nhìn thấy một người dường như là thật trên camera thường đủ để xóa tan nghi ngờ do một yêu cầu bất ngờ hoặc sự cố kỹ thuật gây ra. Mục tiêu không phải là kéo dài tương tác, mà chỉ cần đủ độ chân thực để thúc đẩy nạn nhân tiến đến bước tiếp theo”, ông nói.
Ông cho biết thêm rằng trí tuệ nhân tạo (AI) hiện đang được sử dụng để hỗ trợ việc giả mạo danh tính ngoài các cuộc gọi trực tiếp. “Nó được sử dụng để soạn thảo tin nhắn, điều chỉnh giọng điệu và bắt chước cách một người thường giao tiếp với đồng nghiệp hoặc bạn bè. Điều đó khiến các tin nhắn thông thường khó bị nghi ngờ hơn và giảm khả năng người nhận dừng lại đủ lâu để xác minh cuộc tương tác,” ông giải thích.
Edwards cảnh báo rằng rủi ro sẽ tăng lên khi các tác nhân AI được đưa vào giao tiếp và ra quyết định hàng ngày. Ông nói: “Các tác nhân có thể gửi tin nhắn, lên lịch cuộc gọi và hành động thay mặt người dùng với tốc độ máy móc. Nếu các hệ thống đó bị lạm dụng hoặc xâm phạm, âm thanh hoặc video giả mạo (deepfake) có thể được triển khai tự động, biến hành vi mạo danh từ một nỗ lực thủ công thành một quy trình có thể mở rộng.”
Edwards cho rằng việc kỳ vọng hầu hết người dùng biết cách phát hiện deepfake là "không thực tế", và nói thêm rằng, "Giải pháp không phải là yêu cầu người dùng chú ý kỹ hơn, mà là xây dựng các hệ thống bảo vệ họ theo mặc định. Điều đó có nghĩa là cải thiện cách thức báo hiệu và xác minh tính xác thực, để người dùng có thể nhanh chóng hiểu liệu nội dung đó là thật, giả mạo hay chưa được xác minh mà không cần dựa vào trực giác, sự quen thuộc hoặc điều tra thủ công."
