El grupo vinculado a Corea del Norte Kimsuky ha comenzado a utilizar ChatGPT y otras herramientas de inteligencia artificial para generar identidades falsas, con el objetivo de hacer más convincentes sus ataques de ingeniería social y ocultar la ejecución de código malicioso.

En su ataque más reciente, el grupo creó deepfakes de documentos de identificación militar surcoreanos para intentar engañar a periodistas, investigadores y activistas de derechos humanos, solicitándoles revisar un borrador de los documentos y hacer clic en un enlace malicioso, según el análisis de la firma surcoreana de ciberseguridad Genians.

El objetivo de la táctica es que los destinatarios perciban el correo como relevante profesional o personalmente, aumentando las probabilidades de interacción. Un portavoz de Genians explicó que usar imágenes vinculadas al contexto laboral real del objetivo incrementa significativamente el éxito del ataque.

La IA y la profesionalización de la ingeniería social

Este tipo de operaciones se suma a un patrón más amplio de grupos norcoreanos que emplean IA generativa para crear identidades, generar código, modificar documentos y traducir textos, según Recorded Future. Otros grupos como PurpleDelta y PurpleBravo también han usado IA para crear señuelos y atraer a víctimas específicas, desde desarrolladores de software hasta expertos en criptomonedas.

La creación de documentos de identidad falsos, como identificaciones militares, permite que los ataques de phishing parezcan más creíbles y personaliza el "señuelo" según la víctima. Según expertos, estos documentos pueden tardar apenas una hora en generarse y pueden engañar incluso a empresas de seguridad y software.

En este ataque, la víctima debía primero hacer clic en un enlace que descargaba un archivo zip, y luego abrir un archivo LNK para comprometer su sistema. Otros documentos incluían supuestos informes económicos de Corea del Norte y reportes sobre la crisis surcoreana vinculada a la declaración de ley marcial del gobierno de Yoon Suk-yeol en diciembre de 2024.

El ataque se centra en temas sensibles para aumentar la probabilidad de que la víctima abra los archivos, incluyendo defensa nacional, investigación sobre Corea del Norte y cuestiones políticas o sociales, según Genians.

Los investigadores conectaron a Kimsuky con el ataque mediante la correlación de indicadores como direcciones IP y malware específico, confirmando su vinculación con el grupo estatal norcoreano, y demostrando cómo la combinación de IA y deepfakes está elevando la sofisticación de los ataques actuales.

Fuente: Dark Reading