Nordkorea-tilknyttede hackere bruger AI til at forfalske sydkoreansk militær-id i phishing-angreb

En formodet nordkoreansk hackergruppe er blevet fundet ved at bruge ChatGPT til at generere et forfalsket sydkoreansk militært identifikationsdokument som en del af en phishing-kampagne, ifølge en Bloomberg-rapport, der citerer forskning fra Genians, et sydkoreansk cybersikkerhedsfirma.

I stedet for at indlejre et rigtigt billede, forbandt angribere det falske ID-kort med malware designet til at udtrække følsomme oplysninger fra enheder.

Hændelsen fremhæver, hvordan nordkoreanske agenter i stigende grad anvender kunstig intelligens-værktøjer til at fremme cyberspionage, med mål lige fra journalister og menneskerettighedsaktivister til forskere fokuseret på Nordkorea.

Hackere anvender falsk militær-id i Sydkorea

Gruppen, der var involveret i det seneste angreb, er blevet identificeret som Kimsuky, en formodet nordkoreansk statsstøttet spionageenhed.

Forskere sagde, at hackerne lavede et udkast til en version af et sydkoreansk militært id-kort ved hjælp af ChatGPT, hvilket fik deres phishing-e-mail til at fremstå mere troværdig.

E-mailen, der blev sendt fra en adresse, der ender på .mli.kr – der minder meget om et officielt sydkoreansk militærdomæne – var designet til at narre modtagere til at åbne den vedhæftede fil.

Når der blev klikket på filen, implementerede filen malware, der var i stand til at udtrække data.

Målene omfattede sydkoreanske journalister, menneskerettighedsaktivister og forskere, der studerede Nordkorea.

Præcis hvor mange individer der blev kompromitteret, er stadig uklart.

Kimsukys historie med spionage og AI-brug

Kimsuky har tidligere været sat i forbindelse med spionageindsatser mod sydkoreanske og internationale mål.

I en meddelelse fra 2020 udtalte det amerikanske ministerium for indenrigssikkerhed, at gruppen "højst sandsynligt har fået til opgave af det nordkoreanske regime at indsamle globale efterretninger."

Genians-rapporten er den seneste, der viser mistænkte nordkoreanske hackere, der bruger kunstig intelligens som en del af deres operationer.

I august rapporterede Anthropic, at nordkoreanske hackere brugte Claude Code, et andet AI-værktøj, til at sikre fjernjob hos amerikanske Fortune 500-virksomheder.

AI-chatbotten hjalp operatører med at opbygge overbevisende falske identiteter, bestå tekniske vurderinger og levere kodningsopgaver, når de var ansat.

Tidligere i år sagde OpenAI, at det havde forbudt konti knyttet til Nordkorea, der brugte dets tjenester til at oprette falske CV'er, følgebreve og indhold på sociale medier som en del af rekrutteringsforsøg.

Efterforskere tester AI-begrænsninger

Genians-forskere bekræftede, at ChatGPT i første omgang afviste forsøg på at generere et regeringsudstedt ID, da gengivelse af sådanne dokumenter er ulovlig i Sydkorea.

Men ved at ændre prompten blev begrænsningerne omgået, og hackerne var i stand til at skabe et falsk udkast til billede.

Brugen af AI i disse cyberangreb viser, hvor hurtigt generative modeller kan tilpasses til ondsindede formål.

Forskere advarer om, at angribere ikke kun bruger AI til at skabe overbevisende billeder, men også til malwareudvikling, planlægning af angrebsscenarier og efterligning af rekrutteringsfolk.

Cyberangreb knyttet til Nordkoreas finansieringsindsats

Amerikanske embedsmænd har længe påstået, at Nordkorea anvender cyberangreb, tyveri af kryptovaluta og forklædte it-kontrakter til at indsamle efterretninger og generere indtægter.

Disse operationer er ifølge den amerikanske regerings vurderinger designet til at omgå sanktioner og finansiere Pyongyangs atomvåbenprogram.

Phishing-forsøget mod sydkoreanske mål er et andet eksempel på, hvordan AI integreres i sådanne operationer.

Mens angrebet brugte et falsk militært ID som lokkemad, forblev det bredere mål i overensstemmelse med tidligere nordkoreansk taktik: at udtrække data og udvide cyberspionagekapaciteten.