Un gruppo di hacker legato alla Corea del Nord sta potenziando le sue strategie di social engineering, integrando esche basate sull’intelligenza artificiale nei suoi attacchi mirati al settore crypto, secondo un nuovo report del team Mandiant di Google.
L’operazione riflette una continua evoluzione delle attività cyber legate agli Stati che prendono di mira il settore degli asset digitali, che ha registrato un aumento significativo nel 2025.
SponsoredFalsa chiamata Zoom scatena attacco malware a un’azienda crypto
Nell’ultimo rapporto, Mandiant ha spiegato in dettaglio la propria indagine su un’intrusione che ha colpito una società FinTech nel settore delle criptovalute. L’attacco è stato attribuito al gruppo UNC1069, una minaccia motivata da ragioni finanziarie attiva almeno dal 2018, con collegamenti alla Corea del Nord.
“Mandiant ha osservato che questo gruppo sta evolvendo le sue tattiche, tecniche e procedure (TTP), gli strumenti utilizzati e gli obiettivi. Dal 2023 almeno, il gruppo è passato dalle tecniche di spear-phishing e dagli attacchi al settore finanziario tradizionale (TradFi) all’industria Web3, prendendo di mira soggetti come i CEX, sviluppatori di software presso istituzioni finanziarie, aziende di alta tecnologia e persone che lavorano nei fondi di venture capital,” si legge nel report.
Secondo gli investigatori, l’intrusione è iniziata con un account Telegram compromesso appartenente a un dirigente del settore crypto. Gli hacker hanno usato il profilo violato per contattare la vittima, costruendo gradualmente un rapporto di fiducia prima di inviare un invito Calendly per una videochiamata.
SponsoredIl link alla riunione portava la vittima su un dominio Zoom falso, ospitato su un’infrastruttura controllata dagli attaccanti. Durante la chiamata, la vittima ha riferito di aver visto un video, apparentemente un deepfake, di un CEO di un’altra società crypto.
“Sebbene Mandiant non sia riuscita a recuperare prove forensi per verificare in modo indipendente l’uso di modelli AI in questo caso specifico, la truffa riportata è simile a un precedente episodio reso pubblico, con caratteristiche simili, nel quale sarebbero stati usati anche deepfake,” si legge ancora nel report.
Gli attaccanti hanno fatto credere ci fossero problemi audio durante la riunione, giustificando così la fase successiva. Hanno istruito la vittima a eseguire comandi di risoluzione dei problemi sul proprio dispositivo.
Tali comandi, pensati sia per sistemi macOS che Windows, avviavano di nascosto la catena d’infezione che portava all’installazione di diversi componenti malware.
Mandiant ha identificato sette famiglie di malware distinte utilizzate durante l’attacco. Gli strumenti erano progettati per rubare le credenziali Keychain, estrarre cookie e dati di login del browser, accedere alle sessioni Telegram e raccogliere altri file sensibili.
Gli investigatori hanno valutato che l’obiettivo era duplice: abilitare potenzialmente il furto di criptovalute e raccogliere dati utili per futuri attacchi di social engineering.
L’indagine ha rivelato un volume insolitamente elevato di strumenti installati su un singolo dispositivo, suggerendo uno sforzo altamente mirato per sottrarre la maggiore quantità possibile di dati dalla vittima compromessa.
L’incidente rientra in uno schema più ampio e non rappresenta un caso isolato. Nel dicembre 2025, BeInCrypto ha riportato che attori affiliati alla Corea del Nord hanno sottratto oltre 300 milioni di dollari fingendosi figure di spicco del settore crypto durante chiamate fraudolente su Zoom e Microsoft Teams.
Le dimensioni di questa attività nell’arco dell’anno sono ancora più impressionanti. Complessivamente, i gruppi di minaccia nordcoreani sono stati responsabili del furto di 2,02 miliardi di dollari in asset digitali nel 2025, con un aumento del 51% rispetto all’anno precedente.
Chainalysis ha anche rivelato che i gruppi scam legati on-chain a fornitori di servizi AI mostrano una efficienza operativa significativamente superiore rispetto a quelli privi di tali connessioni. Secondo l’azienda, questa tendenza suggerisce che in futuro l’AI diventerà un componente standard nella maggior parte delle operazioni scam.
Con strumenti AI sempre più accessibili e potenti, creare deepfake convincenti è oggi più facile che mai. I prossimi mesi saranno una prova importante per capire se il settore crypto sarà in grado di adattare la propria sicurezza abbastanza rapidamente per affrontare queste minacce così avanzate.
