未経験の北朝鮮サイバー工作員は、数ヶ月にわたって暗号資産の数百万ドルを正常に流出させました。この成果は、新規マルウェアの展開や高度な脆弱性の悪用ではなく、ありふれた人工知能ツールの活用によって達成されました。
アンチウイルス&マルウェア
Expelの専門家がHexagonalRodentの活動の詳細を報告しました。HexagonalRodentはDPRK当局との結びつきのある集団です。このグループは2,000を超えるワークステーションに感染させ、主に暗号資産、NFT、Web3イニシアティブに従事する開発者をターゲットにしました。わずか3ヶ月の間に、これらの侵入により約1200万ドルのデジタル資産がもたらされました。
工作員は、OpenAI、Cursor、Animaを含むアメリカ企業からのオフザシェルフ人工知能サービスを使用して、キャンペーンのほぼ全体を調整しました。これらのツールを通じて、ハッカーは悪意のあるコードを作成し、欺瞞的なウェブサイトを製作し、複雑なフィッシング戦略を構築しました。
開発者は、架空の企業の代わりに発行された詐欺的な雇用勧誘の対象となりました。正当性の幻想を強化するため、グループはさまざまな空きポジションの詳細を記載した包括的なウェブサイトを構築しました。その後、被害者は、ソースコードファイルのダウンロードが必要な技術的評価を完了するよう招待されました。このファイル内には、認証情報を収集し、特定の場合には暗号資産ウォレットのプライベートキーへのアクセスを確保するように設計された悪意のあるペイロードが隠されていました。
財務的な成功にもかかわらず、ハッカーは運用上の規律の欠如を示しました。彼らは誤ってインフラの一部を公開したままにし、ChatGPTおよび他のプラットフォーム内でコードを生成するために使用された特定のプロンプトさえも明かしました。調査官はまた、被害者のウォレットアドレスを含むデータベースを発見し、盗難の総額の正確な推定を容易にしました。
悪意のあるコードの法医学的分析は、AI生成の本質的な特徴を明らかにし、豊富な英語のコメントと絵文字でさえも特徴付けられました。これらの機能は、従来の専門的な開発とはあからさまに相容れません。さらに、コードは標準的なセキュリティ対策で検出可能な予測可能なマルウェアテンプレートに従いました。しかし、攻撃は多くの場合このような防御システムを持たない個々の開発者を対象としていました。
専門家は、このキャンペーンの重要な要素は、攻撃の複雑さではなく、人工知能がかつて相当な専門知識を必要とした作業を実行するために未熟な個人に力を与えたという事実であると指摘しています。北朝鮮は長い間、仮名で活動するIT専門家のネットワークを利用してサイバー作戦を実施してきました。現在では、これらのキャンペーンは厳格な技術訓練を受けていない、より幅広い労働力を活用することができます。
Expelは、このキャンペーンに31人の個人が関与していると推定しています。以前は、この規模の攻撃には本格的な開発チームが必要でしたが、今日では、生成AIツールへのアクセスだけで十分です。HexagonalRodentの活動は、北朝鮮のより広いサイバーランドスケープの単なる一つの側面であり、これは体系的な暗号資産の盗難、ランサムウェアの展開、および国際制裁を迂回し国家プロジェクトに資金を提供するためのスパイ活動を含みます。人工知能はそのようなグループにとって不可欠なユーティリティとなり、文書の作成、ソーシャルエンジニアリング説話の改善、および攻撃インフラの構築を支援しています。対応として、OpenAIとAnimaは、悪意のあるアカウントを積極的に終了し、そのような搾取を妨害するための制限を改善していることを確認しています。
ゼロデイ悪用分析
