Hackare med kopplingar till Nordkorea använder AI för att förfalska sydkoreanskt militärt ID i nätfiskeattack

En misstänkt nordkoreansk hackergrupp har visat sig använda ChatGPT för att generera ett förfalskat sydkoreanskt militärt identitetsdokument som en del av en phishing-kampanj, enligt en Bloomberg-rapport som citerar forskning från Genians, ett sydkoreanskt cybersäkerhetsföretag.

Istället för att bädda in en riktig bild kopplade angriparna det falska ID-kortet till skadlig kod som är utformad för att extrahera känslig information från enheter.

Incidenten belyser hur nordkoreanska agenter i allt högre grad använder verktyg för artificiell intelligens för att främja cyberspionage, med mål som sträcker sig från journalister och människorättsaktivister till forskare med fokus på Nordkorea.

Hackare använder falskt militärt ID i Sydkorea

Gruppen som var inblandad i den senaste attacken har identifierats som Kimsuky, en misstänkt nordkoreansk statsstödd spionageenhet.

Forskare sa att hackarna skapade en utkastversion av ett sydkoreanskt militärt ID-kort med hjälp av ChatGPT, vilket gjorde att deras phishing-e-post verkade mer trovärdig.

E-postmeddelandet, som skickades från en adress som slutar på .mli.kr – som liknar en officiell sydkoreansk militärdomän – var utformat för att lura mottagarna att öppna den bifogade filen.

När du klickade på filen distribuerade den skadlig kod som kan extrahera data.

Bland måltavlorna fanns sydkoreanska journalister, människorättsaktivister och forskare som studerade Nordkorea.

Exakt hur många individer som utsattes för kompromettering är fortfarande oklart.

Kimsukys historia av spionage och användning av artificiell intelligens

Kimsuky har tidigare kopplats till spioneri mot sydkoreanska och internationella mål.

I en bulletin från 2020 uppgav USA:s departement för inrikes säkerhet att gruppen "med största sannolikhet har fått i uppdrag av den nordkoreanska regimen att samla in global underrättelse".

Genians-rapporten är den senaste som visar misstänkta nordkoreanska hackare som använder artificiell intelligens som en del av sin verksamhet.

I augusti rapporterade Anthropic att nordkoreanska hackare använde Claude Code, ett annat AI-verktyg, för att säkra distansjobb på amerikanska Fortune 500-företag.

AI-chatboten hjälpte operatörer att bygga övertygande falska identiteter, klara tekniska bedömningar och leverera kodningsuppgifter när de väl hade anställts.

Tidigare i år sa OpenAI att de hade förbjudit konton kopplade till Nordkorea som använde dess tjänster för att skapa bedrägliga CV:n, personliga brev och innehåll i sociala medier som en del av rekryteringsförsök.

Utredare testar AI-begränsningar

Genians forskare bekräftade att ChatGPT till en början avvisade försök att generera ett statligt utfärdat ID, eftersom reproduktion av sådana dokument är olagligt i Sydkorea.

Men genom att ändra prompten kringgicks begränsningarna och hackarna kunde skapa en falsk utkastbild.

Användningen av AI i dessa cyberattacker visar hur snabbt generativa modeller kan anpassas för skadliga ändamål.

Forskare varnar för att angripare använder AI inte bara för att skapa övertygande bilder, utan även för utveckling av skadlig kod, planering av attackscenarier och imitation av rekryterare.

Cyberattacker kopplade till nordkoreanska finansieringsinsatser

Amerikanska tjänstemän har länge påstått att Nordkorea använder cyberattacker, stöld av kryptovaluta och förtäckta IT-kontrakt för att samla in underrättelser och generera intäkter.

Dessa operationer är, enligt den amerikanska regeringens bedömningar, utformade för att kringgå sanktioner och finansiera Pyongyangs kärnvapenprogram.

Nätfiskeförsöket mot sydkoreanska mål är ett annat exempel på hur AI integreras i sådana operationer.

Även om attacken använde ett falskt militärt ID som lockbete, förblev det bredare målet konsekvent med tidigare nordkoreansk taktik: att extrahera data och utöka kapaciteten för cyberspionage.