Gli hacker legati alla Corea del Nord usano l'intelligenza artificiale per falsificare l'ID militare sudcoreano in un attacco di phishing

Un sospetto gruppo di hacker nordcoreani è stato scoperto a utilizzare ChatGPT per generare un documento di identificazione militare sudcoreano contraffatto come parte di una campagna di phishing, secondo un rapporto di Bloomberg che cita una ricerca di Genians, una società di sicurezza informatica sudcoreana.

Invece di incorporare un'immagine reale, gli aggressori hanno collegato la falsa carta d'identità a un malware progettato per estrarre informazioni sensibili dai dispositivi.

L'incidente evidenzia come gli agenti nordcoreani stiano implementando sempre più strumenti di intelligenza artificiale per far progredire lo spionaggio informatico, con obiettivi che vanno da giornalisti e attivisti per i diritti umani a ricercatori focalizzati sulla Corea del Nord.

Gli hacker distribuiscono un falso documento d'identità militare in Corea del Sud

Il gruppo coinvolto nell'ultimo attacco è stato identificato come Kimsuky, una sospetta unità di spionaggio sponsorizzata dallo stato nordcoreano.

I ricercatori hanno affermato che gli hacker hanno creato una bozza di una carta d'identità militare sudcoreana utilizzando ChatGPT, rendendo la loro e-mail di phishing più credibile.

L'e-mail, inviata da un indirizzo che termina con .mli.kr, molto simile a un dominio militare ufficiale sudcoreano, è stata progettata per indurre i destinatari ad aprire l'allegato.

Una volta cliccato, il file ha distribuito malware in grado di estrarre dati.

Gli obiettivi includevano giornalisti sudcoreani, attivisti per i diritti umani e ricercatori che studiano la Corea del Nord.

Esattamente quanti individui sono stati compromessi rimane poco chiaro.

La storia dello spionaggio e dell'uso dell'intelligenza artificiale di Kimsuky

Kimsuky è stato precedentemente collegato a sforzi di spionaggio contro obiettivi sudcoreani e internazionali.

In un avviso del 2020, il Dipartimento per la sicurezza interna degli Stati Uniti ha dichiarato che il gruppo "è molto probabilmente incaricato dal regime nordcoreano di una missione globale di raccolta di informazioni".

Il rapporto di Genians è l'ultimo a mostrare sospetti hacker nordcoreani che utilizzano l'intelligenza artificiale come parte delle loro operazioni.

Ad agosto, Anthropic ha riferito che gli hacker nordcoreani hanno utilizzato Claude Code, un altro strumento di intelligenza artificiale, per assicurarsi lavori a distanza presso le aziende Fortune 500 statunitensi.

Il chatbot AI ha aiutato gli operatori a creare identità false convincenti, superare valutazioni tecniche e svolgere attività di codifica una volta assunti.

All'inizio di quest'anno, OpenAI ha dichiarato di aver bandito gli account collegati alla Corea del Nord che utilizzavano i suoi servizi per creare curriculum fraudolenti, lettere di presentazione e contenuti sui social media come parte dei tentativi di reclutamento.

Gli investigatori testano le restrizioni dell'IA

I ricercatori di Genians hanno confermato che ChatGPT ha inizialmente respinto i tentativi di generare un documento d'identità rilasciato dal governo, poiché la riproduzione di tali documenti è illegale in Corea del Sud.

Tuttavia, modificando il prompt, le restrizioni sono state aggirate e gli hacker sono stati in grado di creare una falsa bozza di immagine.

L'uso dell'intelligenza artificiale in questi attacchi informatici dimostra quanto rapidamente i modelli generativi possano essere adattati per scopi dannosi.

I ricercatori avvertono che gli aggressori utilizzano l'intelligenza artificiale non solo per creare immagini convincenti, ma anche per lo sviluppo di malware, la pianificazione di scenari di attacco e l'impersonificazione dei reclutatori.

Attacchi informatici legati agli sforzi di finanziamento della Corea del Nord

I funzionari americani hanno a lungo affermato che la Corea del Nord impiega attacchi informatici, furti di criptovalute e contratti IT mascherati per raccogliere informazioni e generare entrate.

Queste operazioni, secondo le valutazioni del governo degli Stati Uniti, sono progettate per eludere le sanzioni e finanziare il programma di armi nucleari di Pyongyang.

Il tentativo di phishing contro obiettivi sudcoreani è un altro esempio di come l'intelligenza artificiale venga integrata in tali operazioni.

Sebbene l'attacco abbia utilizzato un falso documento d'identità militare come esca, l'obiettivo più ampio è rimasto coerente con le precedenti tattiche nordcoreane: estrarre dati ed estendere le capacità di cyber-spionaggio.