Alerta de Segurança: Hackers ligados à Coreia do Norte lançam nova campanha de malware direcionada a empresas de criptomoedas

Uma operação cibernética sofisticada atribuída à Coreia do Norte foi exposta, direcionando empresas de criptomoedas e fintechs com um arsenal avançado de malware e técnicas de engenharia social alimentadas por IA. A divisão de inteligência de ameaças do Google Cloud, a Mandiant, documentou esse grupo de ameaças em rápida escalada, designado como UNC1069, revelando uma expansão dramática das atividades que foram inicialmente detectadas por pesquisadores em 2018.

Mandiant Descobre UNC1069: As Capacidades Cibernéticas em Evolução da Coreia do Norte

A investigação da Mandiant revelou uma campanha de intrusão direcionada que utilizou um conjunto de sete variantes distintas de malware, cada uma projetada para fins específicos de coleta e exfiltração de dados. Entre as novas ferramentas identificadas estão o CHROMEPUSH e o DEEPBREATH, criados para contornar mecanismos de segurança críticos do sistema operativo e extrair informações sensíveis do host e da vítima. Além disso, os pesquisadores documentaram as famílias de malware SILENCELIFT e outras, representando uma infraestrutura de ataque coordenada e abrangente.

De acordo com a avaliação técnica da Mandiant: “Esta investigação revelou uma intrusão personalizada que resultou na implantação de sete famílias de malware únicas, incluindo um novo conjunto de ferramentas projetadas para capturar dados do host e da vítima: SILENCELIFT, DEEPBREATH e CHROMEPUSH.” Este conjunto diversificado de ferramentas indica um ator de ameaça bem equipado, com alta sofisticação técnica e acesso a capacidades de desenvolvimento especializadas.

Engenharia Social Avançada Encontra-se com Engano Gerado por IA

A campanha vinculada à Coreia do Norte utilizou contas comprometidas do Telegram como pontos de contato iniciais, ao mesmo tempo em que orquestrava reuniões falsas no Zoom aprimoradas com conteúdo de deepfake gerado por IA. Essa abordagem de engano em múltiplas camadas representa uma escalada notável nas táticas de manipulação social. As vítimas eram manipuladas sistematicamente para executar comandos ocultos através do que os pesquisadores chamam de ataques ClickFix — uma técnica que envolve a injeção de instruções escondidas que são executadas sem o conhecimento do usuário.

A integração da inteligência artificial na metodologia de engenharia social demonstra como os atores de ameaça continuam a se adaptar e a weaponizar tecnologias emergentes. O componente de vídeo deepfake destaca especialmente a sofisticação da campanha, dificultando cada vez mais a atribuição e a verificação de vítimas para organizações-alvo.

Implicações para a Indústria de Criptomoedas

O foco deliberado em empresas de criptomoedas e fintechs levanta questões críticas sobre os interesses estratégicos da Coreia do Norte na infraestrutura de ativos digitais e dados financeiros sensíveis. Essas operações sugerem um potencial interesse em:

• Captura de credenciais para movimentação lateral dentro de redes corporativas
• Dados de transações blockchain para coleta de inteligência ou operações de resgate
• Dados de identificação pessoal que possam facilitar compromissos adicionais ou atividades de espionagem

Empresas que atuam no espaço cripto são identificadas como alvos prioritários no manual de operações cibernéticas da Coreia do Norte, exigindo maior vigilância e posturas de segurança reforçadas. A persistência da campanha desde 2018 e sua contínua evolução indicam que essa não é uma ameaça temporária, mas uma prioridade estratégica sustentada do adversário.

O que as Organizações Devem Considerar

A campanha UNC1069 reforça a importância de treinamentos de conscientização de segurança para funcionários, focados na detecção de deepfakes e em protocolos de verificação para comunicações inesperadas. Autenticação multifator, capacidades de detecção e resposta em endpoints, e monitoramento contínuo dos sinais de malware identificados são medidas defensivas essenciais. À medida que as operações cibernéticas da Coreia do Norte continuam a evoluir e ampliar seu escopo de ataque, as empresas de criptomoedas devem tratar esse cenário de ameaça como uma prioridade ativa e imediata.