Nord-Korea-tilknyttede hackere bruker AI til å forfalske sørkoreansk militær-ID i phishing-angrep

En mistenkt nordkoreansk hackergruppe har blitt funnet ved å bruke ChatGPT for å generere et forfalsket sørkoreansk militært identifikasjonsdokument som en del av en phishing-kampanje, ifølge en Bloomberg-rapport som siterer forskning fra Genians, et sørkoreansk cybersikkerhetsselskap.

I stedet for å bygge inn et ekte bilde, koblet angripere det falske ID-kortet til skadelig programvare designet for å trekke ut sensitiv informasjon fra enheter.

Hendelsen fremhever hvordan nordkoreanske operatører i økende grad bruker kunstig intelligens-verktøy for å fremme cyberspionasje, med mål som spenner fra journalister og menneskerettighetsaktivister til forskere fokusert på Nord-Korea.

Hackere distribuerer falsk militær ID i Sør-Korea

Gruppen som var involvert i det siste angrepet har blitt identifisert som Kimsuky, en mistenkt nordkoreansk statsstøttet spionasjeenhet.

Forskere sa at hackerne laget en utkastversjon av et sørkoreansk militært identifikasjonskort ved hjelp av ChatGPT, noe som fikk phishing-e-posten deres til å virke mer troverdig.

E-posten, sendt fra en adresse som slutter på .mli.kr – som ligner på et offisielt sørkoreansk militærdomene – var designet for å lure mottakere til å åpne vedlegget.

Når den ble klikket, distribuerte filen skadelig programvare som var i stand til å trekke ut data.

Målene inkluderte sørkoreanske journalister, menneskerettighetsaktivister og forskere som studerte Nord-Korea.

Nøyaktig hvor mange individer som ble kompromittert er fortsatt uklart.

Kimsukys historie med spionasje og AI-bruk

Kimsuky har tidligere vært knyttet til spionasje mot sørkoreanske og internasjonale mål.

I en veiledning fra 2020 uttalte US Department of Homeland Security at gruppen «mest sannsynlig har fått i oppgave av det nordkoreanske regimet å samle inn global etterretning».

Genians-rapporten er den siste som viser mistenkte nordkoreanske hackere som bruker kunstig intelligens som en del av sine operasjoner.

I august rapporterte Anthropic at nordkoreanske hackere brukte Claude Code, et annet AI-verktøy, for å sikre eksterne jobber hos amerikanske Fortune 500-selskaper.

AI-chatboten hjalp operatører med å bygge overbevisende falske identiteter, bestå tekniske vurderinger og levere kodeoppgaver når de ble ansatt.

Tidligere i år sa OpenAI at de hadde utestengt kontoer knyttet til Nord-Korea som brukte tjenestene deres til å lage falske CV-er, følgebrev og innhold på sosiale medier som en del av rekrutteringsforsøk.

Etterforskere tester AI-restriksjoner

Genians-forskere bekreftet at ChatGPT i utgangspunktet avviste forsøk på å generere en offentlig utstedt ID, siden reproduksjon av slike dokumenter er ulovlig i Sør-Korea.

Men ved å endre ledeteksten ble restriksjonene omgått, og hackerne var i stand til å lage et falskt utkastbilde.

Bruken av AI i disse cyberangrepene viser hvor raskt generative modeller kan tilpasses til ondsinnede formål.

Forskere advarer om at angripere bruker AI ikke bare for å lage overbevisende bilder, men også for utvikling av skadelig programvare, planlegging av angrepsscenarier og etterligning av rekrutterere.

Cyberangrep knyttet til nordkoreansk finansiering

Amerikanske tjenestemenn har lenge påstått at Nord-Korea bruker cyberangrep, tyveri av kryptovaluta og forkledde IT-kontrakter for å samle etterretning og generere inntekter.

Disse operasjonene, ifølge amerikanske regjeringsvurderinger, er utformet for å omgå sanksjoner og finansiere Pyongyangs atomvåpenprogram.

Phishing-forsøket mot sørkoreanske mål er et annet eksempel på hvordan AI blir integrert i slike operasjoner.

Mens angrepet brukte en falsk militær ID som agn, forble det bredere målet i samsvar med tidligere nordkoreansk taktikk: å hente ut data og utvide cyberspionasjekapasiteten.