Tin tặc triển khai 7 họ phần mềm độc hại với Deepfake AI
Theo báo cáo từ bộ phận Mandiant của Google Cloud, các tác nhân đe dọa liên quan đến Triều Tiên đang triển khai một làn sóng tấn công mới tinh vi chống lại các lĩnh vực tiền điện tử và công nghệ tài chính (fintech). Một nhóm được theo dõi với tên UNC1069 đã được quan sát sử dụng bảy họ phần mềm độc hại riêng biệt, bao gồm các công cụ mới được phát hiện có tên SILENCELIFT, DEEPBREATH và CHROMEPUSH, được thiết kế đặc biệt để thu thập và trích xuất dữ liệu từ các nạn nhân.
Chiến dịch này đánh dấu một sự phát triển đáng kể trong chiến thuật, kết hợp trí tuệ nhân tạo để nâng cao hiệu quả. Mandiant báo cáo rằng nhóm đã bắt đầu sử dụng "mồi nhử hỗ trợ AI" trong các hoạt động tích cực vào tháng 11 năm 2025, cho phép họ mở rộng các nỗ lực lừa đảo xã hội của mình. Các mục tiêu chính bao gồm các công ty tiền điện tử, nhà đầu tư mạo hiểm và nhà phát triển phần mềm.
Lừa đảo xã hội lợi dụng các cuộc họp Zoom giả mạo
Các phương pháp của kẻ tấn công dựa vào các kế hoạch lừa đảo xã hội phức tạp. Trong một vụ xâm nhập chi tiết, các đặc vụ đã sử dụng một tài khoản Telegram bị chiếm đoạt thuộc về một nhà sáng lập tiền điện tử để thiết lập liên lạc với mục tiêu. Nạn nhân sau đó được mời tham gia một cuộc họp Zoom, nơi kẻ tấn công, sử dụng video deepfake, giả vờ có vấn đề về âm thanh để tạo cớ cho cuộc tấn công.
Chiến thuật này, được gọi là tấn công "ClickFix", liên quan đến việc lừa nạn nhân chạy các lệnh dường như là để khắc phục sự cố âm thanh không tồn tại. Theo Mandiant, các lệnh này chứa một script ẩn khởi động chuỗi lây nhiễm phần mềm độc hại, cấp cho kẻ tấn công quyền truy cập vào hệ thống máy chủ và dữ liệu của nó.
Triều Tiên liên quan đến các vụ trộm tiền điện tử 1,4 tỷ USD trong quá khứ
Những hoạt động gần đây này là một phần của mô hình tội phạm mạng lâu dài được quy cho các nhóm do nhà nước Triều Tiên tài trợ. Những tác nhân này đại diện cho một mối đe dọa dai dẳng và tốn kém đối với ngành tài sản kỹ thuật số. Nhóm Lazarus khét tiếng, một thực thể khác có liên hệ với Triều Tiên, trước đây đã bị liên kết với vụ hack 1,4 tỷ USD của sàn giao dịch Bybit, một trong những vụ trộm tiền điện tử lớn nhất được ghi nhận.
Các sự cố được ghi nhận khác củng cố mức độ nghiêm trọng của mối đe dọa. Vào tháng 6 năm 2025, bốn đặc vụ Triều Tiên đã xâm nhập vào nhiều công ty khởi nghiệp tiền điện tử với tư cách là nhà phát triển tự do đã bị phát hiện đã đánh cắp tổng cộng 900.000 USD từ các công ty này. Những sự kiện này nhấn mạnh mối nguy hiểm nhất quán và không ngừng phát triển do các nhóm này gây ra đối với an ninh và sự ổn định của hệ sinh thái Web3.
