Специалисты Google Cloud через подразделение Mandiant выявили новую волну кибератак, предположительно исходящую из Северной Кореи. Целью злоумышленников стали криптовалютные и финтех-компании, а основным инструментом атак выступают социальная инженерия и вредоносное ПО.
В отчете отмечается, что кластер угроз UNC1069 развернул сразу семь семейств вредоносных программ, включая SILENCELIFT, DEEPBREATH и CHROMEPUSH, которые предназначены для обхода защитных систем и кражи конфиденциальных данных.
Механика атак строится вокруг фейковых встреч и дипфейков: злоумышленники используют взломанные Telegram-аккаунты, приглашают сотрудников компаний на поддельные Zoom-конференции и под видом «устранения неполадок» заставляют их выполнять команды, запускающие вредоносное ПО — так называемую схему ClickFix.
Mandiant отслеживает активность группы с 2018 года, но с конца 2025-го кампании стали масштабнее, чему способствовало использование инструментов искусственного интеллекта. По данным отчета, первые приманки с поддержкой ИИ начали применяться в ноябре 2025 года.
Целями остаются криптокомпании, разработчики ПО и венчурные фонды.
Атаки направлены на кражу учетных данных, корпоративной информации и доступ к цифровым кошелькам. В одном из зафиксированных случаев злоумышленники воспользовались Telegram-аккаунтом основателя проекта, чтобы провести фальшивую видеоконференцию с сотрудниками и установить вредоносное ПО на их устройства.
источник
уникальность
