This post is also available in:
English (אנגלית)
מבצע סייבר חדש שיוחס לצפון קוריאה חושף רמה חדשה של תחכום בשימוש בבינה מלאכותית למטרות זדוניות. על פי ממצאים של Genians Security Center (GSC), קבוצת תקיפה צפון-קוריאנית הידועה בשם Kimsuky עשתה שימוש בכלי בינה מלאכותית ליצירת תמונות דיפ-פייק של תעודות זהות צבאיות דרום-קוריאניות כחלק מקמפיין ספיר-פישינג
המתקפה, שהחלה באמצע יולי, כוונה כלפי אנשים בעלי זיקה למערכת הביטחון, זכויות אדם ומדיניות כלפי צפון קוריאה. הקורבנות קיבלו הודעות דוא"ל שנראו כאילו הן מבקשות חוות דעת על טיוטות של תעודות צבאיות. ההודעות כללו גם תוכן בנושאים כמו מצב הכלכלה בצפון קוריאה וחקירות פוליטיות – ככל הנראה כדי להוסיף אמינות למסרים.
לקבצים המצורפים צורף קובץ ZIP ובתוכו קובץ קיצור דרך. עם פתיחתו, הפעיל הקובץ פקודות מוסתרות שביצעו שלבים שונים להורדה והתקנה של נוזקה. הפעולות כללו פענוח פקודות PowerShell מוסוות, התחברות לשרתים לשליטה ובקרה (C2) הממוקמים בדרום קוריאה ובצרפת, והורדת קבצים זדוניים נוספים. בין הקבצים נמצאה תמונה של תעודת צבא מזויפת שנוצרה באמצעות ChatGPT.
השימוש בתעודות זהות מזויפות שנוצרו בבינה מלאכותית מהווה הסלמה בטקטיקות של קבוצת Kimsuky. בעוד שבעבר השתמשה הקבוצה בפישינג ובמסמכים מזויפים, שילוב של ויזואליות ריאליסטית מבוססת AI עשוי להעלות את שיעור ההצלחה של המתקפות.
חוקרי GSC קישרו את הקמפיין לטכניקות מוכרות של Kimsuky, כמו שיטת "ClickFix", המתחזה לחלונות CAPTCHA לצורך הפצת נוזקה. ניתוח המתקפה העלה כי נעשה שימוש חוזר באותם וריאנטים של נוזקות שהופיעו במבצעים קודמים של הקבוצה.
המקרה הנוכחי הוא חלק ממגמה רחבה יותר, שבה גורמים צפון-קוריאניים עושים שימוש בבינה מלאכותית לפעולות סייבר מתקדמות. דיווחים מהחודשים האחרונים הדגישו שימוש ב-AI ליצירת קורות חיים מזויפים וראיונות עבודה וידאו מפוברקים, במסגרת ניסיונות לחדור לחברות זרות. בעקבות זאת, הרשויות בדרום קוריאה פרסמו אזהרות לעסקים מקומיים על הסיכון שבהעסקת מפעילים כאלו מבלי לדעת.
הקמפיין מדגיש כיצד הבינה המלאכותית הופכת לכלי מפתח במתקפות סייבר מתוחכמות, ממוקדות ומתמשכות, במיוחד כשמדובר בפעילות ריגול במימון מדינתי.
