Mit Nordkorea verbundene Hacker nutzen KI, um bei Phishing-Angriffen südkoreanische Militärausweise zu fälschen

Laut einem Bloomberg-Bericht unter Berufung auf Recherchen von Genians, einem südkoreanischen Cybersicherheitsunternehmen, wurde dabei erwischt, wie eine mutmaßliche nordkoreanische Hackergruppe ChatGPT verwendet, um im Rahmen einer Phishing-Kampagne ein gefälschtes südkoreanisches Militärausweisdokument zu erstellen.

Anstatt ein echtes Bild einzubetten, verknüpften die Angreifer den gefälschten Ausweis mit Malware, die darauf ausgelegt war, vertrauliche Informationen von Geräten zu extrahieren.

Der Vorfall zeigt, wie nordkoreanische Agenten zunehmend Werkzeuge der künstlichen Intelligenz einsetzen, um die Cyberspionage voranzutreiben, wobei die Ziele von Journalisten und Menschenrechtsaktivisten bis hin zu Forschern reichen, die sich auf Nordkorea konzentrieren.

Hacker setzen gefälschte Militärausweise in Südkorea ein

Die Gruppe, die an dem jüngsten Angriff beteiligt war, wurde als Kimsuky identifiziert, eine mutmaßlich vom nordkoreanischen Staat geförderte Spionageeinheit.

Die Forscher sagten, dass die Hacker mit ChatGPT einen Entwurf eines südkoreanischen Militärausweises erstellt haben, um ihre Phishing-E-Mails glaubwürdiger erscheinen zu lassen.

Die E-Mail, die von einer Adresse mit der Endung .mli.kr gesendet wurde, die einer offiziellen südkoreanischen Militärdomain sehr ähnlich ist, sollte die Empfänger dazu verleiten, den Anhang zu öffnen.

Sobald die Datei angeklickt wurde, wurde Malware bereitgestellt, die in der Lage war, Daten zu extrahieren.

Zu den Zielen gehörten südkoreanische Journalisten, Menschenrechtsaktivisten und Forscher, die sich mit Nordkorea beschäftigen.

Wie viele Personen genau kompromittiert wurden, bleibt unklar.

Kimsukys Geschichte der Spionage und des Einsatzes von KI

Kimsuky wurde in der Vergangenheit mit Spionagebemühungen gegen südkoreanische und internationale Ziele in Verbindung gebracht.

In einer Empfehlung aus dem Jahr 2020 erklärte das US-Heimatschutzministerium, dass die Gruppe "höchstwahrscheinlich vom nordkoreanischen Regime mit einer globalen Geheimdienstmission beauftragt wird".

Der Genians-Bericht ist der jüngste, der zeigt, dass mutmaßliche nordkoreanische Hacker künstliche Intelligenz als Teil ihrer Operationen einsetzen.

Im August berichtete Anthropic, dass nordkoreanische Hacker Claude Code, ein weiteres KI-Tool, nutzten, um sich Remote-Jobs bei US-Fortune-500-Unternehmen zu sichern.

Der KI-Chatbot half den Mitarbeitern, überzeugende gefälschte Identitäten zu erstellen, technische Bewertungen zu bestehen und Programmieraufgaben zu erfüllen, sobald sie eingestellt wurden.

Anfang dieses Jahres gab OpenAI bekannt, dass es Konten gesperrt hat, die mit Nordkorea in Verbindung stehen und seine Dienste nutzen, um im Rahmen von Rekrutierungsversuchen betrügerische Lebensläufe, Anschreiben und Social-Media-Inhalte zu erstellen.

Ermittler testen KI-Einschränkungen

Die Forscher von Genians bestätigten, dass ChatGPT Versuche, einen von der Regierung ausgestellten Ausweis zu generieren, zunächst ablehnte, da die Vervielfältigung solcher Dokumente in Südkorea illegal ist.

Durch die Änderung der Eingabeaufforderung wurden die Einschränkungen jedoch umgangen, und die Hacker konnten einen gefälschten Bildentwurf erstellen.

Der Einsatz von KI bei diesen Cyberangriffen zeigt, wie schnell generative Modelle für böswillige Zwecke angepasst werden können.

Forscher warnen davor, dass Angreifer KI nicht nur nutzen, um überzeugende Bilder zu erstellen, sondern auch für die Entwicklung von Malware, die Planung von Angriffsszenarien und die Nachahmung von Personalvermittlern.

Cyberangriffe im Zusammenhang mit nordkoreanischen Finanzierungsbemühungen

Amerikanische Beamte behaupten seit langem, dass Nordkorea Cyberangriffe, Kryptowährungsdiebstahl und getarnte IT-Verträge einsetzt, um Informationen zu sammeln und Einnahmen zu generieren.

Diese Operationen dienen nach Einschätzung der US-Regierung dazu, Sanktionen zu umgehen und Pjöngjangs Atomwaffenprogramm zu finanzieren.

Der Phishing-Versuch gegen südkoreanische Ziele ist ein weiteres Beispiel dafür, wie KI in solche Operationen integriert wird.

Bei dem Angriff wurde zwar ein gefälschter Militärausweis als Köder verwendet, aber das übergeordnete Ziel blieb konsistent mit früheren nordkoreanischen Taktiken: Daten zu extrahieren und die Fähigkeiten zur Cyberspionage auszubauen.