كشفت وحدة Mandiant التابعة لشركة غوغل أن مجموعة التهديد الكورية الشمالية المعروفة باسم UNC1069 صعّدت من عملياتها ضد شركات العملات المشفرة عبر استغلال تقنيات الذكاء الاصطناعي. تعتمد هذه الهجمات على مزيج من أساليب الهندسة الاجتماعية، مثل استخدام حسابات مخترقة على تيليغرام، تنظيم اجتماعات وهمية عبر منصات مثل Zoom، وتوظيف مقاطع فيديو مولدة بالذكاء الاصطناعي لإقناع الضحايا بجدية اللقاء. هذه المقاطع غالباً ما تكون ديب فيك أو تسجيلات مسروقة من ضحايا سابقين، ما يعزز الوهم بأن الاجتماع حقيقي.
من التقليدي إلى عالم Web3
منذ عام 2023، تحولت المجموعة من استهداف المؤسسات المالية التقليدية إلى التركيز على صناعة Web3، بما في ذلك البورصات المركزية (CEX)، مطوري البرمجيات في المؤسسات المالية، شركات التكنولوجيا المتقدمة، وحتى صناديق رأس المال المغامر. هذا التحول يعكس إدراكاً متزايداً لقيمة الأصول الرقمية وسهولة استغلالها عبر هجمات سيبرانية معقدة. تقارير سابقة من Google Threat Intelligence Group أشارت إلى أن UNC1069 استخدمت أدوات مثل Gemini لإنتاج محتوى دعائي ورسائل موجهة تخدم حملاتها الاحتيالية.
ترسانة برمجيات خبيثة متعددة المراحل
الهجمات الأخيرة أظهرت استخدام المجموعة لما لا يقل عن سبع عائلات برمجيات خبيثة، من بينها:
- WAVESHAPER: برنامج تنفيذي بلغة C++ يجمع معلومات النظام ويطلق محمل Go يُعرف باسم HYPERCALL.
- HIDDENCALL: مكون خلفي يمنح المهاجمين وصولاً مباشراً عبر لوحة المفاتيح إلى النظام المخترق.
- DEEPBREATH: أداة متقدمة قادرة على التلاعب بقاعدة بيانات TCC في macOS للحصول على صلاحيات واسعة، بما في ذلك سرقة بيانات من iCloud Keychain ومتصفحات مثل Chrome وBrave وEdge.
- CHROMEPUSH: امتداد خبيث لمتصفحي Chrome وBrave يتخفى كأداة لتحرير مستندات غوغل، ويقوم بتسجيل ضغطات المفاتيح وسرقة بيانات الدخول وملفات تعريف الارتباط.
- SILENCELIFT: برنامج خلفي بسيط يجمع معلومات النظام ويرسلها إلى خوادم التحكم والسيطرة.
هذا التنوع في الأدوات يعكس إصراراً واضحاً على جمع بيانات الاعتماد، ملفات تعريف الارتباط، والرموز الجلسية، بهدف تسهيل سرقة الأصول المالية الرقمية.
حملات موازية: من GhostCall إلى ClickFix
من الجدير بالذكر أن شركة Kaspersky تتبعت نفس الحملة تحت اسم GhostCall، حيث يتم تسجيل فيديوهات الضحايا دون علمهم وإعادة استخدامها لخداع آخرين. كما تعتمد الهجمات على رسائل خطأ مزيفة تتعلق بالصوت، تدفع المستخدمين إلى تحميل أوامر إصلاح وهمية بأسلوب ClickFix، والتي تنتهي بتنزيل برمجيات خبيثة على أنظمة ويندوز أو macOS. هذه الأساليب المبتكرة تجمع بين الخداع البصري والبرمجي لتجاوز دفاعات المستخدمين والشركات على حد سواء.
