Los ciberdelincuentes norcoreanos usan IA y deepfakes para secuestrar criptomonedas

Nueva táctica de ciberataques del grupo vinculado a la RKP

Los especialistas de Google revelaron el funcionamiento de la agrupación hacker (UNC1069), presumiblemente bajo control de las autoridades norcoreanas. Desde 2018 utilizan inteligencia artificial para crear nuevos conjuntos de herramientas y esquemas de ingeniería social dirigidos a ciudadanos y empleados de empresas de criptomonedas.

Cómo se ve el ataque
1. Robo de cuenta

Los hackers acceden a una cuenta existente (normalmente en redes sociales o correo electrónico).

2. Lanzamiento de videoconferencia

A través de esa cuenta envían al objetivo un enlace a una sesión de Zoom.

3. Reunión deepfake

Dentro de la llamada aparece un video con una cara falsa – por ejemplo, “el director general de otra empresa cripto”. Se crea con IA y parece tan realista que la mayoría no detectará el engaño.

4. “Mantenimiento” paso a paso

El deepfake indica fallos técnicos y pide al usuario realizar varias acciones en su computadora. Las instrucciones incluyen comandos maliciosos que lanzan backdoors y programas para robar datos.

5. Obtención de material valioso

Tras seguir la instrucción, los atacantes obtienen acceso a información confidencial y potencialmente pueden robar criptomonedas.

Arsenal tecnológico
- Gemini (asistente IA) – se usó para generar código, simular actualizaciones de software y preparar instrucciones.

- GPT‑4o de OpenAI – fue empleado por el grupo BlueNoroff para mejorar imágenes que convencen a los usuarios de la autenticidad del invitación.

Google denominó esta técnica “ingeniería social con IA” y destacó siete nuevas familias de malware involucradas en el ataque.

Objetivos y consecuencias
- Robo de criptomonedas – motivación financiera principal.

- Recolección de datos personales – se crea una base para futuras campañas de ingeniería social.

- Ataques a la industria – objetivos incluyen desarrolladores de software, firmas de capital riesgo y sus ejecutivos.

Una de las cuentas vinculadas al grupo fue bloqueada por Google después de que los atacantes usaran Gemini para desarrollar herramientas de inteligencia.

Así, UNC1069 demuestra cómo las tecnologías modernas de IA permiten a los hackers crear ataques altamente efectivos e indistinguibles contra audiencias objetivo en el sector cripto.