A equipe de segurança do Google na Mandiant alertou que hackers norte-coreanos estão incorporando deepfakes gerados por inteligência artificial em reuniões de vídeo falsas como parte de ataques cada vez mais sofisticados contra empresas de criptomoedas, de acordo com um relatório divulgado na segunda-feira.
A Mandiant afirmou ter investigado recentemente uma intrusão em uma empresa fintech que atribui ao UNC1069, ou “CryptoCore”, um grupo de ameaças com alta probabilidade de estar ligado à Coreia do Norte.
O ataque utilizou uma conta comprometida do Telegram, uma reunião falsa no Zoom e uma técnica chamada ClickFix para enganar a vítima e fazê-la executar comandos maliciosos. Os investigadores também encontraram evidências de que vídeos gerados por IA foram usados para enganar o alvo durante a reunião falsa.
“A Mandiant observou o UNC1069 empregando essas técnicas para atacar tanto entidades corporativas quanto indivíduos no setor de criptomoedas, incluindo empresas de software e seus desenvolvedores, bem como empresas de capital de risco e seus funcionários ou executivos”, diz o relatório.
Campanha de roubo de criptomoedas da Coreia do Norte
O alerta surge em um momento em que os roubos de criptomoedas pela Coreia do Norte continuam a crescer em escala. Em meados de dezembro, a empresa de análise de blockchain Chainalysis afirmou que hackers norte-coreanos roubaram US$ 2,02 bilhões em criptomoedas em 2025, um aumento de 51% em relação ao ano anterior. O valor total roubado por agentes ligados à Coreia do Norte agora chega a aproximadamente US$ 6,75 bilhões, mesmo com a diminuição do número de ataques.
As descobertas destacam uma mudança mais ampla na forma como os cibercriminosos ligados ao Estado estão operando. Em vez de depender de campanhas de phishing em massa, o CryptoCore e grupos semelhantes estão se concentrando em ataques altamente personalizados que exploram a confiança em interações digitais rotineiras, como convites de calendário e videochamadas. Dessa forma, a Coreia do Norte está conseguindo roubos maiores por meio de menos incidentes, porém mais direcionados.
De acordo com a Mandiant, o ataque começou quando a vítima foi contatada no Telegram por alguém que parecia ser um executivo conhecido do setor de criptomoedas, cuja conta já havia sido comprometida. Após estabelecer um relacionamento, o atacante enviou um link do Calendly para uma reunião de 30 minutos que direcionava a vítima para uma chamada falsa do Zoom hospedada na própria infraestrutura do grupo. Durante a chamada, a vítima relatou ter visto o que parecia ser um vídeo deepfake de um conhecido CEO do setor de criptomoedas.
Assim que a reunião começou, os atacantes alegaram haver problemas de áudio e instruíram a vítima a executar comandos de “solução de problemas”, uma técnica do ClickFix que acabou por desencadear a infecção por malware. Análises forenses posteriores identificaram sete famílias distintas de malware no sistema da vítima, implantadas numa aparente tentativa de coletar credenciais, dados do navegador e tokens de sessão para roubo financeiro e futura falsificação de identidade.
Falsificação de identidade com deepfake
Fraser Edwards, cofundador e CEO da empresa de identidade descentralizada cheqd, afirmou que o ataque reflete um padrão que ele tem observado repetidamente contra pessoas cujos trabalhos dependem de reuniões remotas e coordenação rápida. “A eficácia dessa abordagem reside no quão pouco precisa parecer incomum”, disse Edwards.
“O remetente é conhecido. O formato da reunião é rotineiro. Não há nenhum malware anexado ou vulnerabilidade óbvia. A confiança é conquistada antes que qualquer defesa técnica tenha a chance de intervir.”
Edwards afirmou que vídeos deepfake são normalmente introduzidos em pontos de escalonamento, como chamadas ao vivo, onde ver um rosto familiar pode dissipar dúvidas criadas por solicitações inesperadas ou problemas técnicos. “Ver o que parece ser uma pessoa real na câmera geralmente é suficiente para dissipar dúvidas criadas por uma solicitação inesperada ou um problema técnico. O objetivo não é prolongar a interação, mas sim criar realismo suficiente para levar a vítima à próxima etapa”, disse ele.
Ele acrescentou que a IA agora está sendo usada para dar suporte à falsificação de identidade fora de chamadas ao vivo. “Ela é usada para redigir mensagens, corrigir o tom de voz e imitar a maneira como alguém normalmente se comunica com colegas ou amigos. Isso torna as mensagens rotineiras mais difíceis de questionar e reduz a chance de o destinatário parar tempo suficiente para verificar a interação”, explicou.
Edwards alertou que o risco aumentará à medida que agentes de IA forem introduzidos na comunicação e na tomada de decisões do dia a dia. “Os agentes podem enviar mensagens, agendar chamadas e agir em nome dos usuários na velocidade da máquina. Se esses sistemas forem abusados ou comprometidos, áudio ou vídeo deepfake podem ser implantados automaticamente, transformando a falsificação de identidade de um esforço manual em um processo escalável”, disse ele.
É “irrealista” esperar que a maioria dos usuários saiba como identificar um deepfake, disse Edwards, acrescentando que “a resposta não é pedir aos usuários que prestem mais atenção, mas sim construir sistemas que os protejam por padrão. Isso significa aprimorar a forma como a autenticidade é sinalizada e verificada, para que os usuários possam entender rapidamente se o conteúdo é real, sintético ou não verificado, sem depender de instinto, familiaridade ou investigação manual”.
* Traduzido e editado com autorização do Decrypt.
Buscando uma carteira com alto ganho, mas sem o sobe e desce do mercado? A Renda Fixa Digital do MB oferece ativos com ganhos de até 18% ao ano, risco controlado e total segurança para seus investimentos. Conheça agora!
