- Google Cloud identificou campanha ligada à Coreia do Norte com 7 famílias de malware.
- Ataques usaram Telegram comprometido, Zoom falso e deepfakes com IA.
- Grupo atua desde 2018 e ampliou operações com uso de IA em 2025.
O Google Cloud, por meio da Mandiant, revelou uma nova ofensiva cibernética ligada à Coreia do Norte que mira empresas de criptomoedas, fintechs e desenvolvedores.
O grupo utilizou inteligência artificial, deepfakes e engenharia social para instalar sete tipos de malware e roubar dados sensíveis.
Ataques combinam deepfake, Telegram comprometido e sete malwares
A investigação identificou o cluster UNC1069 como responsável pela campanha. Segundo a Mandiant, o grupo implantou sete famílias de malware, incluindo três ferramentas inéditas: SILENCELIFT, DEEPBREATH e CHROMEPUSH.
De acordo com o relatório:
“esta investigação revelou uma intrusão sob medida que resultou na implantação de sete famílias únicas de malware”.
Além disso, as novas ferramentas foram projetadas para capturar dados do sistema e informações pessoais das vítimas.
Os invasores utilizaram contas de Telegram previamente comprometidas. Em um dos casos, eles se passaram por um fundador do setor cripto, em seguida, convidaram a vítima para uma reunião no Zoom.
Entretanto, a chamada exibiu um vídeo falso criado com inteligência artificial. O suposto executivo alegou problemas de áudio. Por isso, orientou a vítima a executar comandos de “correção” no sistema.
Esses comandos escondiam uma instrução maliciosa. Assim, iniciaram a cadeia de infecção conhecida como ClickFix, o malware então bypassou componentes críticos do sistema operacional e coletou dados sensíveis.
A Mandiant monitora o grupo desde 2018. Contudo, em novembro de 2025, observou pela primeira vez o uso ativo de iscas com IA em escala maior. Portanto, a campanha ganhou sofisticação e alcance.
Cripto segue na mira de grupos ligados à Coreia do Norte
O relatório aponta expansão nas operações, o grupo passou a focar empresas cripto, fundos de venture capital e desenvolvedores de software. Além disso, o mapa de vítimas indica atuação internacional.
A ameaça não é isolada. Em junho de 2025, quatro agentes norte-coreanos infiltraram startups cripto como freelancers e desviaram US$ 900 mil. Além disso, o grupo Lazarus foi associado ao hack de US$ 1,4 bilhão da Bybit no mesmo ano.
Esses números reforçam um padrão, a Coreia do Norte utiliza crimes cibernéticos para financiar suas atividades. Portanto, o setor cripto tornou-se alvo estratégico devido à liquidez e menor burocracia internacional.
O uso de IA eleva o risco, deepfakes tornam golpes mais convincentes. Além disso, ataques personalizados dificultam a detecção por ferramentas tradicionais de segurança.
Empresas do setor precisam reforçar protocolos internos. Verificação em múltiplos canais, autenticação forte e treinamento contra engenharia social tornam-se essenciais. Caso contrário, perdas milionárias podem se repetir.
A ofensiva expõe uma nova fase do crime digital. Agora, a combinação entre geopolítica, inteligência artificial e criptomoedas amplia o impacto global dessas operações.
