Coreia do Norte Sinalizada por Campanha Sofisticada de Malware Cripto Dirigida ao Setor Fintech

Pesquisadores de segurança da divisão Mandiant do Google Cloud descobriram uma operação cibernética coordenada ligada à Coreia do Norte que está atacando agressivamente empresas de criptomoedas e fintechs. O grupo de ameaças, designado UNC1069, representa uma escalada significativa na atividade, detectada inicialmente em 2018, agora utilizando um arsenal de ferramentas maliciosas combinadas com técnicas avançadas de engenharia social para invadir alvos de alto valor no espaço de ativos digitais.

O Grupo de Ameaças UNC1069 - Uma Operação Persistente Ligada à Coreia do Norte

A investigação da Mandiant revelou uma campanha de intrusão meticulosamente orquestrada, que introduz um conjunto completo de novas ferramentas de ataque. A operação demonstra uma evolução nas capacidades cibernéticas da Coreia do Norte, com os investigadores confirmando a implantação de sete famílias distintas de malware especificamente criadas para esta campanha. Segundo a avaliação detalhada de ameaças da Mandiant, esta atividade marca uma expansão significativa em relação às operações anteriores do grupo, indicando um investimento contínuo no desenvolvimento de infraestruturas de ataque sofisticadas direcionadas ao setor fintech.

Sete Famílias de Malware Desenvolvidas para Exfiltração de Dados

O novo kit de malware inclui SILENCELIFT, DEEPBREATH e CHROMEPUSH — três variantes particularmente perigosas, projetadas para superar as defesas de segurança modernas. CHROMEPUSH e DEEPBREATH foram especificamente criados para contornar proteções críticas do sistema operativo e coletar informações pessoais sensíveis de sistemas comprometidos. Essas ferramentas representam um avanço notável nas capacidades técnicas da Coreia do Norte, permitindo que os atacantes extraiam dados do host e credenciais das vítimas enquanto evitam mecanismos tradicionais de deteção de endpoint.

Táticas de Engenharia Social com IA e ClickFix

Além do deployment de malware bruto, a operação ligada à Coreia do Norte utiliza táticas sofisticadas de engenharia social que combinam tecnologia de IA com métodos tradicionais de phishing. A campanha explora contas comprometidas no Telegram para estabelecer uma falsa confiança com os alvos, depois escalando para a realização de reuniões fraudulentas no Zoom, apresentando vídeos deepfake gerados por IA de indivíduos legítimos. As vítimas são manipuladas posteriormente para executar comandos ocultos através de ataques ClickFix — uma técnica que engana os utilizadores para executarem códigos maliciosos disfarçados de reparações legítimas do sistema ou prompts de segurança. Essa abordagem em múltiplas camadas, que combina inteligência artificial, roubo de credenciais e psicologia, demonstra como os atores de ameaça estão evoluindo além de campanhas tradicionais apenas de malware.