Hackers vinculados a Corea del Norte utilizan IA para falsificar la identificación militar de Corea del Sur en un ataque de phishing

Se descubrió que un presunto grupo de piratas informáticos de Corea del Norte usaba ChatGPT para generar un documento de identificación militar surcoreano falsificado como parte de una campaña de phishing, según un informe de Bloomberg que cita una investigación de Genians, una empresa de ciberseguridad de Corea del Sur.

En lugar de incrustar una imagen real, los atacantes vincularon la tarjeta de identificación falsa con malware diseñado para extraer información confidencial de los dispositivos.

El incidente destaca cómo los operativos norcoreanos están desplegando cada vez más herramientas de inteligencia artificial para avanzar en el ciberespionaje, con objetivos que van desde periodistas y activistas de derechos humanos hasta investigadores centrados en Corea del Norte.

Hackers despliegan identificación militar falsa en Corea del Sur

El grupo involucrado en el último ataque ha sido identificado como Kimsuky, una presunta unidad de espionaje patrocinada por el estado norcoreano.

Los investigadores dijeron que los piratas informáticos elaboraron una versión preliminar de una tarjeta de identificación militar de Corea del Sur utilizando ChatGPT, lo que hace que su correo electrónico de phishing parezca más creíble.

El correo electrónico, enviado desde una dirección que termina en .mli.kr, muy parecida a un dominio militar oficial de Corea del Sur, fue diseñado para engañar a los destinatarios para que abran el archivo adjunto.

Una vez que se hace clic, el archivo implementa malware capaz de extraer datos.

Los objetivos incluían periodistas surcoreanos, activistas de derechos humanos e investigadores que estudiaban Corea del Norte.

No está claro exactamente cuántas personas se vieron comprometidas.

El historial de espionaje y uso de IA de Kimsuky

Kimsuky ha sido vinculado anteriormente a esfuerzos de espionaje contra objetivos surcoreanos e internacionales.

En un aviso de 2020, el Departamento de Seguridad Nacional de EE. UU. declaró que el grupo "probablemente tenga la tarea del régimen norcoreano de una misión global de recopilación de inteligencia".

El informe de Genians es el último en mostrar a presuntos piratas informáticos norcoreanos que utilizan inteligencia artificial como parte de sus operaciones.

En agosto, Anthropic informó que los piratas informáticos norcoreanos usaron Claude Code, otra herramienta de inteligencia artificial, para asegurar trabajos remotos en empresas Fortune 500 de EE. UU.

El chatbot de IA ayudó a los operativos a construir identidades falsas convincentes, pasar evaluaciones técnicas y realizar tareas de codificación una vez contratados.

A principios de este año, OpenAI dijo que había prohibido las cuentas vinculadas a Corea del Norte que utilizaban sus servicios para crear currículos fraudulentos, cartas de presentación y contenido de redes sociales como parte de los intentos de reclutamiento.

Los investigadores prueban las restricciones de la IA

Los investigadores de Genians confirmaron que ChatGPT inicialmente rechazó los intentos de generar una identificación emitida por el gobierno, ya que la reproducción de dichos documentos es ilegal en Corea del Sur.

Sin embargo, al alterar el aviso, se eludieron las restricciones y los piratas informáticos pudieron crear una imagen de borrador falsa.

El uso de IA en estos ciberataques muestra la rapidez con la que se pueden adaptar los modelos generativos con fines maliciosos.

Los investigadores advierten que los atacantes están utilizando la IA no solo para crear imágenes convincentes, sino también para el desarrollo de malware, la planificación de escenarios de ataque y la suplantación de reclutadores.

Ciberataques vinculados a los esfuerzos de financiación de Corea del Norte

Los funcionarios estadounidenses han alegado durante mucho tiempo que Corea del Norte emplea ataques cibernéticos, robo de criptomonedas y contratos de TI disfrazados para recopilar inteligencia y generar ingresos.

Estas operaciones, según las evaluaciones del gobierno de Estados Unidos, están diseñadas para evadir las sanciones y financiar el programa de armas nucleares de Pyongyang.

El intento de phishing contra objetivos surcoreanos es otro ejemplo de cómo se está integrando la IA en tales operaciones.

Si bien el ataque utilizó una identificación militar falsa como cebo, el objetivo más amplio siguió siendo consistente con las tácticas anteriores de Corea del Norte: extraer datos y ampliar las capacidades de ciberespionaje.