Hackers norte-coreanos usam deepfakes de IA em golpes com criptomoedas.
Hackers norte-coreanos apoiados pelo Estado vêm aprimorando seus métodos de ataque contra a indústria de criptomoedas, combinando vídeos deepfake gerados por IA com um arsenal de sete famílias de malware até então não documentados em uma campanha para roubo de ativos digitais, de acordo com um relatório publicado em 8 de fevereiro de 2026 pela Mandiant, subsidiária da, do Google.
O grupo de ameaças, rastreado como UNC1069, vem orquestrando ataques sofisticados que começam com contas do Telegram comprometidos, avançando para reuniões falsas no Zoom com deepfakes de executivos da empresa e culminam com malware que contorna as proteções de segurança do macOS para obter credenciais, dados de carteiras de criptomoedas e informações do navegador.
A Cadeia de Ataque
O esquema do UNC1069 começa quando hackers assumem o controle da conta do Telegram de um executivo de uma empresa de criptomoedas. Usando essa identidade comprometida, eles estabelecem relacionamento com o alvo antes de enviar um convite do Calendly para uma reunião por vídeo. O link da reunião direciona as vítimas para um domínio falso do Zoom controlado pelos invasores.
Durante a chamada, as vítimas são apresentadas ao que parece ser um vídeo deepfake de um CEO de uma empresa de criptomoedas. O vídeo falso serve como preparação para um ataque “ClickFix”, onde problemas de áudio simulados levam uma vítima a executar comandos de solução de problemas em seu sistema. Esses comandos iniciam secretamente a cadeia de infecção, implantando backdoors e ferramentas de mineração de dados sem disparar alertas de segurança padrão porque o usuário autoriza manualmente o processo.
A Mandiant acordos com sete famílias distintas de malware implantadas na campanha, incluindo três ferramentas recém-descobertas: SILENCELIFT, DEEPBREATH e CHROMEPUSH. O DEEPBREATH, escrito em Swift, manipula diretamente o banco de dados de Transparência, Consentimento e Controle do macOS para obter amplo acesso ao sistema de arquivos, roubando credenciais do Keychain, dados do navegador do Chrome, Brave e Edge, e dados de usuário do Telegram e Apple Notes.
Ferramentas de IA Impulsionando as Operações
A campanha reflete a adoção mais ampla de capacidades de IA pelo UNC1069. De acordo com o Grupo de Inteligência de Ameaças do Google, os hackers usaram o Gemini para desenvolver código para roubar criptomoedas, criar scripts de phishing e produzir instruções fraudulentas que se passam por atualizações de software.
“Observamos o UNC1069 usando o Gemini para gerar material de isca para engenharia social, desenvolver código para roubar criptomoedas e criar instruções fraudulentas que se passam por atualizações de software para extrair credenciais de usuários”, declarou o Grupo de Inteligência de Ameaças do Google em um relatório de novembro de 2025.
O UNC1069, que vem sendo monitorado pela Mandiant desde 2018, mudou seu foco por volta de 2023, saindo do setor financeiro tradicional para a indústria Web3, mirando exchanges centralizadas, desenvolvedores de software e empresas de capital de risco. O grupo sobrepõe clusters de ameaças conhecidas como BlueNoroff e TA444, que foram vinculados a roubos de criptomoedas, incluindo Bybit e Axie Infinity.
De acordo com a empresa de análise de blockchain Chainalysis, hackers ligados à Coreia do Norte roubaram pelo menos US$ 2,02 bilhões em criptomoedas somente em 2025, representando 76% de todos os comprometimentos de serviços naquele ano. O hack da Bybit em fevereiro de 2025 foi responsável por US$ 1,5 bilhão desse total.
A Mandiant demonstrou uma quantidade incomumente grande de ferramentas instaladas em um único host no incidente investigado, confirmando um “esforço altamente específico para coletar o máximo de dados possíveis”, tanto para roubo financeiro quanto para futuras campanhas alimentares de engenharia social.
#Hackers #deepfakes #criptomoedas #ia #CoreiadoNorte
