O grupo de ameaças cibernéticas UNC1069, vinculado à Coreia do Norte, tem focado em organizações de criptomoedas para roubar dados sensíveis de sistemas Windows e macOS, visando o roubo financeiro. Pesquisadores da Google Mandiant, Ross Inman e Adrian Hernandez, revelaram que a invasão utiliza engenharia social, incluindo uma conta comprometida no Telegram, uma reunião falsa no Zoom e vídeos gerados por inteligência artificial para enganar as vítimas.
Ativo desde pelo menos abril de 2018, o UNC1069 é conhecido por campanhas de engenharia social para ganhos financeiros, usando convites falsos para reuniões e se passando por investidores de empresas respeitáveis no Telegram. O grupo, também chamado de CryptoCore e MASAN, utiliza ferramentas de inteligência artificial para criar materiais de isca relacionados a criptomoedas. Além disso, tenta desenvolver códigos para roubo de criptomoedas e usa imagens e vídeos deepfake para distribuir um backdoor chamado BIGMACHO, disfarçado de kit de desenvolvimento do Zoom.
Desde 2023, o grupo tem direcionado seus ataques para a indústria Web3, incluindo exchanges centralizadas, desenvolvedores de software em instituições financeiras e fundos de capital de risco. A mais recente invasão documentada pela divisão de inteligência de ameaças da Google indica o uso de sete famílias de malware, incluindo SILENCELIFT, DEEPBREATH e CHROMEPUSH.
O ataque começa quando o grupo se aproxima das vítimas pelo Telegram, fingindo ser capitalistas de risco. Após estabelecer contato, eles agendam uma reunião de 30 minutos via Calendly, redirecionando a vítima para um site falso que imita o Zoom. Durante a reunião, vídeos deepfake ou gravações reais de outras vítimas são usados para enganar os participantes, fazendo-os acreditar que estão em uma chamada ao vivo.
Após a reunião, uma mensagem de erro falsa sobre problemas de áudio solicita que a vítima baixe e execute um comando de solução de problemas, que no macOS leva à entrega de um AppleScript malicioso. Este script instala um binário Mach-O chamado WAVESHAPER, que coleta informações do sistema e distribui um downloader baseado em Go, o HYPERCALL, para servir cargas adicionais, incluindo o backdoor HIDDENCALL e o minerador de dados DEEPBREATH.
O DEEPBREATH manipula o banco de dados TCC do macOS para acessar o sistema de arquivos, permitindo roubar credenciais do iCloud Keychain e dados de navegadores e aplicativos. O CHROMEPUSH, por sua vez, é um ladrão de dados implantado como extensão de navegador, capaz de registrar teclas digitadas e extrair cookies de navegação.
A Mandiant destacou que o volume de ferramentas implantadas em um único host demonstra um esforço determinado para roubar credenciais e dados de navegação, facilitando o roubo financeiro. Embora o UNC1069 geralmente mire startups de criptomoedas e desenvolvedores de software, a introdução de novas famílias de malware representa uma expansão significativa em suas capacidades.
Fonte:https://thehackernews.com/2026/02/north-korea-linked-unc1069-uses-ai.html
