O Google alerta para campanha de malware norte-coreano alimentada por IA direcionada a criptomoedas e DeFi

Resumo

• Os atores norte-coreanos estão a atacar a indústria de criptomoedas com ataques de phishing usando deepfakes gerados por IA e reuniões falsas no Zoom, alertou o Google.
• Mais de 2 mil milhões de dólares em criptomoedas foram roubados por hackers da RPDC em 2025.
• Especialistas alertam que identidades digitais confiáveis estão a tornar-se o elo mais fraco.

A equipa de segurança do Google na Mandiant alertou que hackers norte-coreanos estão a incorporar deepfakes gerados por inteligência artificial em reuniões de vídeo falsas como parte de ataques cada vez mais sofisticados contra empresas de criptomoedas, de acordo com um relatório divulgado na segunda-feira. A Mandiant afirmou que investigou recentemente uma intrusão numa empresa de fintech que atribui ao UNC1069, ou “CryptoCore”, um ator de ameaça ligado com alta confiança à Coreia do Norte. O ataque utilizou uma conta comprometida no Telegram, uma reunião falsa no Zoom e uma técnica chamada ClickFix para enganar a vítima e fazê-la executar comandos maliciosos. Os investigadores também encontraram evidências de que um vídeo gerado por IA foi usado para enganar o alvo durante a reunião falsa.

O ator norte-coreano UNC1069 está a atacar o setor de criptomoedas com engenharia social habilitada por IA, deepfakes e 7 novas famílias de malware.

Veja os detalhes sobre as suas TTPs e ferramentas, bem como IOCs para detectar e caçar a atividade detalhada no nosso post 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (parte do Google Cloud) (@Mandiant) 9 de fevereiro de 2026

“A Mandiant observou que o UNC1069 tem utilizado estas técnicas para atingir tanto entidades corporativas quanto indivíduos na indústria de criptomoedas, incluindo empresas de software e os seus desenvolvedores, bem como fundos de capital de risco e os seus funcionários ou executivos”, afirmou o relatório. Campanha de roubo de criptomoedas na Coreia do Norte O aviso surge à medida que os roubos de criptomoedas na Coreia do Norte continuam a aumentar de escala. Em meados de dezembro, a empresa de análise de blockchain Chainalysis afirmou que hackers norte-coreanos roubaram 2,02 mil milhões de dólares em criptomoedas em 2025, um aumento de 51% em relação ao ano anterior. O total roubado por atores ligados à RPDC já soma aproximadamente 6,75 mil milhões de dólares, mesmo com a diminuição do número de ataques. Estas descobertas evidenciam uma mudança mais ampla na forma como os cibercriminosos ligados ao Estado operam. Em vez de dependerem de campanhas massivas de phishing, o CryptoCore e grupos semelhantes concentram-se em ataques altamente personalizados que exploram a confiança em interações digitais rotineiras, como convites de calendário e chamadas de vídeo. Assim, a Coreia do Norte consegue realizar roubos maiores com menos incidentes, mais direcionados. Segundo a Mandiant, o ataque começou quando a vítima foi contactada no Telegram por alguém que parecia ser um executivo conhecido de criptomoedas, cuja conta já tinha sido comprometida. Após estabelecerem rapport, o atacante enviou um link do Calendly para uma reunião de 30 minutos que direcionava a vítima para uma chamada falsa no Zoom hospedada na própria infraestrutura do grupo. Durante a chamada, a vítima relatou ver um vídeo que parecia ser um deepfake de um CEO de criptomoedas bem conhecido. Assim que a reunião começou, os atacantes alegaram haver problemas de áudio e instruíram a vítima a executar comandos de “solução de problemas”, uma técnica ClickFix que acabou por ativar a infecção por malware. Análises forenses posteriormente identificaram sete famílias distintas de malware no sistema da vítima, implantadas numa tentativa aparente de colher credenciais, dados do navegador e tokens de sessão para roubo financeiro e futuras tentativas de impersonação.

Impersonificação por deepfake Fraser Edwards, cofundador e CEO da empresa de identidade descentralizada cheqd, afirmou que o ataque reflete um padrão que ele tem observado repetidamente contra pessoas cujo trabalho depende de reuniões remotas e coordenação rápida. “A eficácia desta abordagem vem do facto de tudo parecer normal. O remetente é familiar. O formato da reunião é rotineiro. Não há anexos de malware ou exploração óbvia. A confiança é explorada antes que qualquer defesa técnica possa intervir.” Edwards explicou que o vídeo deepfake é normalmente utilizado em pontos de escalada, como chamadas ao vivo, onde ver um rosto familiar pode sobrepor dúvidas criadas por pedidos inesperados ou problemas técnicos. “Ver o que parece ser uma pessoa real na câmara é muitas vezes suficiente para superar a dúvida criada por um pedido inesperado ou problema técnico. O objetivo não é uma interação prolongada, mas sim uma dose de realismo suficiente para levar a vítima ao próximo passo”, afirmou. Ele acrescentou que a IA está agora a ser usada para suportar impersonações fora de chamadas ao vivo. “Ela é usada para redigir mensagens, ajustar o tom de voz e espelhar a forma como alguém normalmente comunica com colegas ou amigos. Isso torna as mensagens rotineiras mais difíceis de questionar e reduz a probabilidade de o destinatário pausar tempo suficiente para verificar a interação”, explicou. Edwards alertou que o risco aumentará à medida que agentes de IA forem introduzidos na comunicação e tomada de decisões diárias. “Os agentes podem enviar mensagens, agendar chamadas e atuar em nome dos utilizadores a velocidade de máquina. Se esses sistemas forem abusados ou comprometidos, áudio ou vídeo deepfake podem ser utilizados automaticamente, transformando a impersonação de um esforço manual para um processo escalável”, afirmou. É “irrealista” esperar que a maioria dos utilizadores saiba como identificar um deepfake, disse Edwards, acrescentando que “a resposta não é pedir aos utilizadores que prestem mais atenção, mas sim construir sistemas que os protejam por padrão. Isso significa melhorar a forma como a autenticidade é sinalizada e verificada, para que os utilizadores possam rapidamente entender se o conteúdo é real, sintético ou não verificado, sem depender de instinto, familiaridade ou investigação manual.”