กูเกิลเตือนภัยแคมเปญมัลแวร์ของเกาหลีเหนือที่ใช้ AI เป็นเครื่องมือในการโจมตีคริปโตและ DeFi

สรุปโดยย่อ

• นักแสดงชาวเกาหลีเหนือกำลังโจมตีอุตสาหกรรมคริปโตด้วยการโจมตีแบบฟิชชิ่งโดยใช้ AI Deepfake และการประชุม Zoom ปลอม Google เตือน
• ในปี 2025 มีการโจรกรรมคริปโตมากกว่า 2 พันล้านดอลลาร์โดยแฮกเกอร์ DPRK
• ผู้เชี่ยวชาญเตือนว่าบุคคลที่เชื่อถือได้ในระบบดิจิทัลกำลังกลายเป็นจุดอ่อนที่สุด

ทีมความปลอดภัยของ Google ที่ Mandiant ได้เตือนว่าแฮกเกอร์ชาวเกาหลีเหนือกำลังนำ Deepfake ที่สร้างด้วยปัญญาประดิษฐ์มาใช้ในวิดีโอประชุมปลอมเป็นส่วนหนึ่งของการโจมตีที่มีความซับซ้อนมากขึ้นต่อบริษัทคริปโต ตามรายงานที่เผยแพร่เมื่อวันจันทร์ Mandiant กล่าวว่าพวกเขาเพิ่งสืบสวนการบุกรุกในบริษัทฟินเทคแห่งหนึ่ง ซึ่งเชื่อมโยงกับ UNC1069 หรือ “CryptoCore” ซึ่งเป็นกลุ่มภัยคุกคามที่มีความเชื่อมั่นสูงว่ามีความเกี่ยวข้องกับเกาหลีเหนือ การโจมตีใช้บัญชี Telegram ที่ถูกแฮก การประชุม Zoom ปลอม และเทคนิค ClickFix เพื่อหลอกลวงเหยื่อให้รันคำสั่งอันตราย นักสืบยังพบหลักฐานว่ามีการใช้วิดีโอที่สร้างด้วย AI เพื่อหลอกลวงเป้าหมายในระหว่างการประชุมปลอม

นักแสดงชาวเกาหลีเหนือ UNC1069 กำลังโจมตีภาคคริปโตด้วยการใช้ AI ในการหลอกลวงทางสังคม Deepfake และกลุ่มมัลแวร์ใหม่ 7 กลุ่ม

ดูรายละเอียดเกี่ยวกับ TTPs และเครื่องมือ รวมถึง IOC สำหรับตรวจจับและค้นหา activity ที่อธิบายไว้ในโพสต์ของเรา 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (ส่วนหนึ่งของ Google Cloud) (@Mandiant) 9 กุมภาพันธ์ 2026

“Mandiant ได้สังเกตว่า UNC1069 ใช้เทคนิคเหล่านี้เพื่อโจมตีทั้งองค์กรและบุคคลในอุตสาหกรรมคริปโต รวมถึงบริษัทซอฟต์แวร์และนักพัฒนาของพวกเขา รวมถึงบริษัทเวนเจอร์แคปิตอลและพนักงานหรือผู้บริหารของพวกเขา” รายงานระบุ การโจรกรรมคริปโตของเกาหลีเหนือ คำเตือนนี้เกิดขึ้นในขณะที่การโจรกรรมคริปโตของเกาหลีเหนือยังคงเพิ่มขึ้นในระดับใหญ่ ในกลางเดือนธันวาคม บริษัทวิเคราะห์บล็อกเชน Chainalysis กล่าวว่าแฮกเกอร์ชาวเกาหลีเหนือขโมยคริปโตไปมูลค่า 2.02 พันล้านดอลลาร์ในปี 2025 ซึ่งเพิ่มขึ้น 51% จากปีที่ผ่านมา จำนวนเงินรวมที่เกี่ยวข้องกับกลุ่มที่เชื่อมโยงกับเกาหลีเหนือขณะนี้อยู่ที่ประมาณ 6.75 พันล้านดอลลาร์ แม้ว่าจำนวนการโจมตีจะลดลงก็ตาม ผลการวิจัยชี้ให้เห็นถึงการเปลี่ยนแปลงในแนวทางการดำเนินงานของอาชญากรไซเบอร์ที่เชื่อมโยงกับรัฐ แทนที่จะใช้แคมเปญฟิชชิ่งจำนวนมาก กลุ่ม CryptoCore และกลุ่มคล้ายกันมุ่งเน้นไปที่การโจมตีแบบเฉพาะเจาะจงสูง ซึ่งใช้ประโยชน์จากความไว้วางใจในปฏิสัมพันธ์ดิจิทัลประจำวัน เช่น คำเชิญในปฏิทินและวิดีโอคอล ด้วยวิธีนี้ เกาหลีเหนือสามารถขโมยทรัพย์สินจำนวนมากขึ้นผ่านเหตุการณ์ที่น้อยลงแต่มีเป้าหมายชัดเจนมากขึ้น ตามรายงาน การโจมตีเริ่มต้นเมื่อเหยื่อถูกติดต่อทาง Telegram โดยบุคคลที่ดูเหมือนเป็นผู้บริหารคริปโตที่รู้จัก ซึ่งบัญชีของเขาได้ถูกแฮกไปแล้ว หลังจากสร้างความสนิทสนม ผู้โจมตีส่งลิงก์ Calendly สำหรับการประชุม 30 นาที ซึ่งนำเหยื่อไปสู่การประชุม Zoom ปลอมที่โฮสต์บนโครงสร้างพื้นฐานของกลุ่ม ในระหว่างการประชุม เหยื่อรายงานว่าเห็นวิดีโอ Deepfake ของ CEO คริปโตที่มีชื่อเสียง เมื่อการประชุมเริ่มขึ้น ผู้โจมตีอ้างว่ามีปัญหาเสียงและสั่งให้เหยื่อรันคำสั่ง “แก้ไขปัญหา” ซึ่งเป็นเทคนิค ClickFix ที่สุดท้ายทำให้เกิดการติดมัลแวร์ การวิเคราะห์ทางนิติวิทยาศาสตร์ในภายหลังพบว่ามีมัลแวร์ 7 กลุ่มที่แตกต่างกันบนระบบของเหยื่อ ซึ่งถูกนำมาใช้เพื่อเก็บข้อมูลรับรอง ข้อมูลเบราว์เซอร์ และโทเค็นเซสชัน เพื่อการโจรกรรมทางการเงินและการปลอมตัวในอนาคต

การปลอมตัวด้วย Deepfake เฟรเซอร์ เอดเวิร์ดส์ ผู้ร่วมก่อตั้งและซีอีโอของบริษัทเชคด์ (cheqd) ซึ่งเป็นบริษัทด้านตัวตนแบบกระจายศูนย์ กล่าวว่า การโจมตีนี้สะท้อนให้เห็นถึงรูปแบบที่เขาเห็นซ้ำแล้วซ้ำเล่าในกลุ่มคนที่งานของพวกเขาขึ้นอยู่กับการประชุมระยะไกลและการประสานงานอย่างรวดเร็ว “ประสิทธิภาพของวิธีนี้มาจากความจริงที่ว่าทุกอย่างดูปกติแทบจะไม่ต้องมีอะไรผิดปกติ” เอดเวิร์ดส์กล่าว “ผู้ส่งเป็นคนคุ้นเคย รูปแบบการประชุมเป็นเรื่องปกติ ไม่มีไฟล์มัลแวร์แนบหรือช่องโหว่ที่ชัดเจน ความไว้วางใจถูกใช้ก่อนที่การป้องกันทางเทคนิคจะเข้ามาแทรกแซง” เอดเวิร์ดส์กล่าวว่าวิดีโอ Deepfake มักถูกนำมาใช้ในจุดที่เป็นการเพิ่มระดับความรุนแรง เช่น การโทรสด ซึ่งการเห็นใบหน้าคุ้นเคยสามารถลบล้างความสงสัยที่เกิดจากคำขอที่ไม่คาดคิดหรือปัญหาทางเทคนิค “การเห็นคนที่ดูเหมือนเป็นคนจริงบนกล้องเป็นสิ่งที่เพียงพอที่จะลบล้างความสงสัยที่เกิดจากคำขอที่ไม่คาดคิดหรือปัญหาทางเทคนิค เป้าหมายไม่ใช่การสนทนานาน แต่เป็นการสร้างความสมจริงพอที่จะผลักดันเหยื่อไปสู่ขั้นตอนถัดไป” เขากล่าว เขาเสริมว่าปัจจุบัน AI ถูกนำมาใช้สนับสนุนการปลอมตัวนอกเหนือจากการโทรสด เช่น การร่างข้อความ การปรับโทนเสียง และการสะท้อนวิธีการสื่อสารปกติของบุคคลกับเพื่อนร่วมงานหรือเพื่อน ซึ่งทำให้ข้อความปกติยากที่จะตั้งคำถามและลดโอกาสที่ผู้รับจะหยุดเพื่อยืนยันความถูกต้องของการสนทนา เอดเวิร์ดส์เตือนว่าความเสี่ยงจะเพิ่มขึ้นเมื่อมีการนำ AI เข้ามาใช้ในชีวิตประจำวันและการตัดสินใจ “ตัวแทนสามารถส่งข้อความ นัดหมายการโทร และดำเนินการแทนผู้ใช้ด้วยความเร็วของเครื่องจักร หากระบบเหล่านั้นถูกใช้อย่างผิดวิธีหรือถูกแฮก ก็สามารถปล่อยเสียงหรือวิดีโอ Deepfake อัตโนมัติ เปลี่ยนจากความพยายามด้วยมือเป็นกระบวนการที่สามารถขยายได้” เขากล่าว เขาเสริมว่าการคาดหวังให้ผู้ใช้ส่วนใหญ่รู้วิธีสังเกต Deepfake เป็นเรื่องที่ไม่สมจริง “คำตอบไม่ใช่การขอให้ผู้ใช้ใส่ใจมากขึ้น แต่เป็นการสร้างระบบที่ปกป้องพวกเขาโดยอัตโนมัติ ซึ่งหมายถึงการปรับปรุงวิธีการสื่อสารความน่าเชื่อถือและการยืนยัน เพื่อให้ผู้ใช้สามารถเข้าใจได้อย่างรวดเร็วว่าเนื้อหาเป็นของจริง สังเคราะห์ หรือยังไม่ได้รับการยืนยัน โดยไม่ต้องพึ่งพาอาศัยสัญชาตญาณ คุ้นเคย หรือการตรวจสอบด้วยตนเอง”