incrypted.com
- Mandiant выявила новую волну вредоносных атак с использованием ИИ.
- Злоумышленники применяют дипфейки, Telegram и поддельные Zoom-встречи.
- Целью остаются криптопроекты, разработчики и венчурные компании.
Команда Google Cloud через подразделение Mandiant зафиксировала новую кампанию вредоносных атак, предположительно связанную с Северной Кореей. Активность направлена на криптовалютные и финтех-компании и включает использование инструментов социальной инженерии и вредоносного ПО.
По данным отчета, кластер угроз UNC1069 развернул сразу семь семейств вредоносных программ. Все они ориентированы на сбор конфиденциальных данных и доступ к цифровым активам.
Среди ПО отмечены инструменты SILENCELIFT, DEEPBREATH и CHROMEPUSH, предназначенные для анализа систем и обхода защитных механизмов.
Атаки строятся вокруг социальной инженерии. Злоумышленники используют взломанные аккаунты Telegram и приглашают представителей компаний на поддельные встречи в Zoom с дипфейк-видео. В ходе разговора жертве предлагают выполнить команды «устранения неполадок», которые запускают цепочку заражения — так называемую схему ClickFix.
Mandiant отмечает, что наблюдает за этой группой с 2018 года, однако с конца 2025 года операции заметно масштабировались. Это произошло за счет использования инструментов искусственного интеллекта.
Впервые приманки с поддержкой ИИ начали применяться в активных атаках в ноябре 2025 года, согласно отчету.
Целями кампании остаются криптокомпании, разработчики программного обеспечения и венчурные фонды. По оценке специалистов, атаки направлены на кражу учетных данных, корпоративной информации и доступ к цифровым кошелькам.
В одном из задокументированных случаев злоумышленники использовали аккаунт Telegram основателя проекта, чтобы связаться с сотрудниками и организовать фальшивую видеоконференцию. После выполнения предложенных команд на устройстве жертвы запускалось вредоносное ПО.
Напомним, мы писали, что инвестор из Сингапура потерял все криптоактивы после загрузки фейковой игры.