Aan Noord-Korea gelieerde hackers gebruiken AI om Zuid-Koreaanse militaire ID te vervalsen bij phishing-aanval

Een vermoedelijke Noord-Koreaanse hackgroep is betrapt op het gebruik van ChatGPT om een vervalst Zuid-Koreaans militair identificatiedocument te genereren als onderdeel van een phishing-campagne, volgens een Bloomberg-rapport waarin onderzoek wordt geciteerd door Genians, een Zuid-Koreaans cyberbeveiligingsbedrijf.

In plaats van een echte afbeelding in te sluiten, koppelden aanvallers de valse identiteitskaart aan malware die was ontworpen om gevoelige informatie van apparaten te extraheren.

Het incident laat zien hoe Noord-Koreaanse agenten steeds meer kunstmatige-intelligentietools inzetten om cyberspionage te bevorderen, met doelen variërend van journalisten en mensenrechtenactivisten tot onderzoekers die zich richten op Noord-Korea.

Hackers zetten valse militaire ID in Zuid-Korea in

De groep die betrokken was bij de laatste aanval is geïdentificeerd als Kimsuky, een vermoedelijke door de Noord-Koreaanse staat gesponsorde spionage-eenheid.

Onderzoekers zeiden dat de hackers een conceptversie van een Zuid-Koreaanse militaire identiteitskaart hebben gemaakt met behulp van ChatGPT, waardoor hun phishing-e-mail geloofwaardiger overkomt.

De e-mail, verzonden vanaf een adres dat eindigt op .mli.kr - dat sterk lijkt op een officieel Zuid-Koreaans militair domein - was bedoeld om ontvangers te misleiden om de bijlage te openen.

Eenmaal geklikt, implementeerde het bestand malware die in staat was om gegevens te extraheren.

Tot de doelwitten behoorden Zuid-Koreaanse journalisten, mensenrechtenactivisten en onderzoekers die Noord-Korea bestuderen.

Hoeveel personen precies zijn gecompromitteerd, blijft onduidelijk.

Kimsuky's geschiedenis van spionage en AI-gebruik

Kimsuky is eerder in verband gebracht met spionage-inspanningen tegen Zuid-Koreaanse en internationale doelen.

In een advies uit 2020 verklaarde het Amerikaanse ministerie van Binnenlandse Veiligheid dat de groep "hoogstwaarschijnlijk door het Noord-Koreaanse regime is belast met een wereldwijde missie voor het verzamelen van inlichtingen".

Het Genians-rapport is het laatste dat vermoedelijke Noord-Koreaanse hackers laat zien die kunstmatige intelligentie gebruiken als onderdeel van hun operaties.

In augustus meldde Anthropic dat Noord-Koreaanse hackers Claude Code, een andere AI-tool, gebruikten om externe banen bij Amerikaanse Fortune 500-bedrijven te beveiligen.

De AI-chatbot hielp agenten om overtuigende valse identiteiten op te bouwen, technische beoordelingen te doorstaan en codeertaken uit te voeren zodra ze waren aangenomen.

Eerder dit jaar zei OpenAI dat het accounts had verbannen die gelinkt waren aan Noord-Korea en die zijn diensten gebruikten om frauduleuze cv's, sollicitatiebrieven en sociale media-inhoud te maken als onderdeel van wervingspogingen.

Onderzoekers testen AI-beperkingen

Genians-onderzoekers bevestigden dat ChatGPT aanvankelijk pogingen om een door de overheid uitgegeven identiteitsbewijs te genereren afwees, aangezien de reproductie van dergelijke documenten illegaal is in Zuid-Korea.

Door de prompt te wijzigen, werden de beperkingen echter omzeild en konden de hackers een nep-conceptafbeelding maken.

Het gebruik van AI bij deze cyberaanvallen laat zien hoe snel generatieve modellen kunnen worden aangepast voor kwaadaardige doeleinden.

Onderzoekers waarschuwen dat aanvallers AI niet alleen gebruiken om overtuigende afbeeldingen te maken, maar ook voor de ontwikkeling van malware, het plannen van aanvalsscenario's en het imiteren van recruiters.

Cyberaanvallen gekoppeld aan Noord-Koreaanse financieringsinspanningen

Amerikaanse functionarissen beweren al lang dat Noord-Korea cyberaanvallen, diefstal van cryptocurrency en verkapte IT-contracten gebruikt om inlichtingen te verzamelen en inkomsten te genereren.

Deze operaties zijn volgens de beoordelingen van de Amerikaanse regering bedoeld om sancties te omzeilen en het kernwapenprogramma van Pyongyang te financieren.

De phishing-poging tegen Zuid-Koreaanse doelen is een ander voorbeeld van hoe AI in dergelijke operaties wordt geïntegreerd.

Hoewel de aanval een nep militair identiteitsbewijs als lokaas gebruikte, bleef het bredere doel consistent met eerdere Noord-Koreaanse tactieken: het extraheren van gegevens en het uitbreiden van cyberspionagemogelijkheden.