Grupo de segurança Mandiant do Google alerta que hackers da Coreia do Norte estão integrando tecnologia deepfake gerada por IA em reuniões de vídeo falsas, como parte de uma campanha de ataques cada vez mais sofisticados contra empresas de criptomoedas, de acordo com relatório divulgado na segunda-feira.
A Mandiant informou que recentemente investigou uma invasão em uma empresa de fintech, atribuída ao UNC1069 (também conhecido como “CryptoCore”) – um ator de ameaça altamente relacionado à Coreia do Norte. O ataque utilizou uma conta do Telegram comprometida, uma reunião falsa no Zoom e a técnica ClickFix para enganar a vítima e fazer com que executasse comandos maliciosos. Os investigadores também encontraram evidências de que vídeos gerados por IA foram utilizados na reunião falsa para enganar o alvo.
Segundo o relatório, a Mandiant constatou que o UNC1069 emprega essas técnicas para direcionar tanto organizações quanto indivíduos no setor de criptomoedas, incluindo empresas de software, programadores, fundos de investimento de risco, bem como suas equipes e lideranças.
Campanha de roubo de criptomoedas da Coreia do Norte aumenta de escala
O alerta foi emitido em um contexto de aumento contínuo no volume de roubos de criptomoedas relacionados à Coreia do Norte. Em meados de dezembro, a empresa de análise blockchain Chainalysis informou que hackers norte-coreanos roubaram 2,02 bilhões de dólares em criptomoedas em 2025, um aumento de 51% em relação ao ano anterior. O valor total de ativos digitais roubados por grupos ligados a Pyongyang atualmente é estimado em cerca de 6,75 bilhões de dólares, embora o número de ataques tenha diminuído.
Essas descobertas indicam uma mudança na forma de operação desses grupos de cibercrime com ligação estatal. Em vez de realizar campanhas de phishing em larga escala, CryptoCore e grupos similares focam em ataques altamente personalizados, explorando a confiança em interações digitais familiares, como convites para reuniões ou chamadas de vídeo. Assim, os hackers podem realizar roubos de maior valor com menos incidentes, mas com objetivos claramente definidos.
Segundo a Mandiant, o ataque começa quando a vítima é contatada via Telegram por uma pessoa que parece ser uma liderança familiar no setor de criptomoedas, mas cuja conta na verdade está sob controle do hacker. Após estabelecer confiança, o invasor envia um link do Calendly para agendar uma reunião de 30 minutos, levando a vítima a uma chamada falsa no Zoom hospedada na infraestrutura própria do grupo. Durante a chamada, a vítima relata ter visto um vídeo deepfake de um CEO de criptomoeda de destaque.
Quando a reunião começa, o hacker alega problemas de áudio e orienta a vítima a executar comandos de “solução de problemas” – uma variação da técnica ClickFix – ativando assim um malware. A análise forense posteriormente revelou sete diferentes códigos maliciosos no sistema da vítima, implantados para roubar credenciais, dados de navegação e tokens de sessão, com o objetivo de obter ganhos financeiros e se passar por terceiros.
Deepfake e IA aprimoram táticas de fraude
Fraser Edwards, cofundador e CEO da empresa de reconhecimento descentralizado cheqd, afirma que o incidente reflete uma tendência de hackers cada vez mais focados em indivíduos que dependem de reuniões online e trabalho remoto. Segundo ele, a eficácia dessa abordagem está no fato de que quase não há sinais visíveis de anormalidade: remetentes familiares, formato de reunião conhecido, sem anexos ou vulnerabilidades óbvias. A confiança é explorada antes que medidas técnicas de defesa possam intervir.
Edwards explica que vídeos deepfake geralmente são utilizados na fase de escalada, por exemplo, durante uma chamada ao vivo, quando a imagem de um rosto familiar pode eliminar suspeitas geradas por solicitações incomuns ou problemas técnicos. O objetivo não é prolongar a interação, mas sim criar uma ilusão suficiente de autenticidade para induzir a vítima a avançar para o próximo passo.
Ele também destaca que a IA é atualmente empregada para apoiar fraudes além de chamadas ao vivo, incluindo a elaboração de mensagens, ajuste de tom e simulação do estilo de comunicação habitual de uma pessoa com colegas ou amigos. Isso torna as mensagens cotidianas mais difíceis de serem suspeitadas e reduz a chance de o destinatário parar para verificar a veracidade.
Segundo Edwards, o risco continuará a crescer à medida que agentes de IA forem mais integrados às atividades de comunicação e tomada de decisão diárias. Esses sistemas podem enviar mensagens, agendar chamadas e agir em nome do usuário de forma automatizada. Se mal utilizados ou invadidos, deepfakes de áudio e vídeo podem ser implementados automaticamente, transformando fraudes de manipulação de identidade de esforços manuais para processos escaláveis.
Ele acredita que esperar que a maioria dos usuários consiga detectar deepfakes por si só não é realista. Em vez de exigir maior vigilância, é necessário construir sistemas de proteção padrão, melhorar os mecanismos de autenticação e exibir a autenticidade do conteúdo, para que os usuários possam identificar rapidamente se a informação é verdadeira, gerada por IA ou não verificada, ao invés de confiar apenas na intuição ou familiaridade.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
