Hacker Triều Tiên Triển Khai Tấn Công Mạng Xã Hội Hỗ Trợ Bởi AI Nhắm Vào Zerion

Zerion đã tiết lộ rằng các hacker liên kết với Triều Tiên đã sử dụng kỹ thuật social engineering hỗ trợ bởi AI để chiếm đoạt khoảng 100,000 USD từ ví nóng của công ty vào tuần trước. Trong báo cáo phân tích sự cố được công bố vào thứ Tư, nhà cung cấp ví tiền điện tử này xác nhận rằng không có quỹ người dùng, ứng dụng Zerion hoặc cơ sở hạ tầng nào bị xâm phạm, và họ đã chủ động vô hiệu hóa ứng dụng web như một biện pháp phòng ngừa.

Mặc dù số tiền này không lớn theo tiêu chuẩn tấn công tiền điện tử, nhưng việc Zerion tiết lộ đã củng cố một xu hướng đang gia tăng: kẻ tấn công ngày càng nhắm vào các nhân viên vận hành bằng các kỹ thuật hỗ trợ bởi AI. Sự cố này xảy ra cùng với một vụ việc nổi bật hồi đầu tháng—vụ khai thác 280 triệu USD vào Drift Protocol được cho là do một hoạt động liên kết với Triều Tiên thực hiện—minh họa sự thay đổi rộng lớn hơn trong cách các tác nhân đe dọa tiếp cận các công ty tiền điện tử. Lớp con người, chứ không phải firmware hoặc hợp đồng thông minh, đã trở thành điểm xâm nhập chính vào các môi trường tiền điện tử.

Điểm chính cần lưu ý

• Kỹ thuật social engineering hỗ trợ bởi AI đang nổi lên như một vector tấn công chính đối với các tác nhân liên kết DPRK, nhắm vào nội bộ thay vì chỉ khai thác lỗi mã nguồn.
• Sự cố của Zerion liên quan đến việc truy cập vào các phiên đăng nhập, thông tin xác thực và khóa riêng tư được lưu trong ví nóng của các thành viên nhóm, nhấn mạnh lỗ hổng trong quản lý danh tính và truy cập.
• Cùng một nhóm đe dọa liên quan đến một mô hình rộng hơn của các chiến dịch kéo dài lâu dài giả mạo các liên hệ và thương hiệu đáng tin cậy trên các kênh cộng tác phổ biến như Telegram, LinkedIn và Slack.
• Các nhà nghiên cứu ngành đã ghi nhận một bộ công cụ ngày càng mở rộng: các cuộc họp ảo giả mạo, chỉnh sửa hình ảnh và video hỗ trợ bởi AI, và các chiến thuật lừa đảo khác làm giảm ma sát cho kỹ thuật social engineering.
• Các nhà phân tích bảo mật cảnh báo rằng mối đe dọa mở rộng vượt xa các sàn giao dịch đến các nhà phát triển, người đóng góp và bất kỳ ai có quyền truy cập vào cơ sở hạ tầng tiền điện tử.

AI định hình lại bối cảnh đe dọa

Sự cố Zerion làm nổi bật sự thay đổi trong cách các vi phạm diễn ra trong hệ sinh thái tiền điện tử. Zerion tuyên bố rằng kẻ tấn công đã có quyền truy cập vào một số phiên đăng nhập, thông tin xác thực và khóa riêng tư được sử dụng cho ví nóng của các thành viên nhóm. Công ty mô tả sự kiện này là một hoạt động social engineering hỗ trợ bởi AI, cho thấy rằng các công cụ trí tuệ nhân tạo đã được triển khai để tinh chỉnh các tin nhắn lừa đảo, giả mạo và các kỹ thuật thao túng khác.

Đánh giá này phù hợp với các phát hiện trước đó từ các nhà nghiên cứu ngành, những người đã quan sát các nhóm liên kết DPRK đang hoàn thiện sổ tay social engineering của họ. Đặc biệt, Security Alliance (SEAL) đã báo cáo theo dõi và chặn 164 tên miền liên kết với UNC1069 trong khoảng thời gian hai tháng từ tháng 2 đến tháng 4, lưu ý rằng nhóm này chạy các chiến dịch kéo dài nhiều tuần, áp lực thấp trên Telegram, LinkedIn và Slack. Các tác nhân giả mạo các liên hệ quen thuộc hoặc thương hiệu có uy tín hoặc tận dụng quyền truy cập vào các tài khoản đã bị xâm phạm trước đó để xây dựng lòng tin và leo thang quyền truy cập.

Bộ phận bảo mật của Google, Mandiant, đã chi tiết quy trình làm việc đang phát triển của nhóm, bao gồm việc sử dụng các cuộc họp Zoom giả mạo và chỉnh sửa hình ảnh hoặc video hỗ trợ bởi AI trong giai đoạn social engineering. Sự kết hợp giữa lừa đảo và các công cụ AI khiến người nhận khó phân biệt hơn giữa các thông tin liên lạc hợp pháp với những thông tin gian lận, tăng khả năng xâm nhập thành công.

Bề mặt đe dọa DPRK mở rộng vượt xa các sàn giao dịch

Ngoài vụ Zerion, các nhà nghiên cứu đã nhấn mạnh rằng các tác nhân đe dọa Triều Tiên đã nhúng mình vào các hệ sinh thái tiền điện tử trong nhiều năm. Nhà phát triển MetaMask và nhà nghiên cứu bảo mật Taylor Monahan lưu ý rằng các nhân viên CNTT DPRK đã tham gia vào nhiều giao thức và dự án trong ít nhất bảy năm, nhấn mạnh sự hiện diện dai dẳng trên toàn ngành. Việc tích hợp các công cụ AI vào các chiến dịch này làm tăng thêm rủi ro, cho phép giả mạo thuyết phục hơn và quy trình làm việc social engineering được tối ưu hóa.

Các nhà phân tích từ Elliptic đã tóm tắt mối đe dọa đang phát triển trong một bài blog, nêu bật rằng nhóm DPRK hoạt động theo hai vector tấn công—một tinh vi, một cơ hội hơn—nhắm vào các nhà phát triển cá nhân, người đóng góp dự án và bất kỳ ai có quyền truy cập vào cơ sở hạ tầng tiền điện tử. Quan sát này phản ánh những gì Zerion và những người khác đang thấy trên thực địa: rào cản gia nhập cho các vi phạm social engineering thấp hơn bao giờ hết, nhờ khả năng tự động hóa và tùy chỉnh nội dung lừa đảo ở quy mô lớn của AI.

Khi câu chuyện mở rộng, các nhà quan sát nhấn mạnh rằng yếu tố con người—thông tin xác thực, token phiên, khóa riêng tư và mối quan hệ tin cậy—tiếp tục là điểm xâm nhập chính. Sự thay đổi trong chiến thuật có nghĩa là các công ty phải bảo vệ không chỉ mã nguồn và triển khai của họ mà còn tính toàn vẹn của các thông tin liên lạc nội bộ và đường dẫn truy cập kết nối các nhóm với tài sản quan trọng.

Những gì độc giả nên theo dõi tiếp theo

Với bản chất xuyên suốt của các cuộc tấn công này, những người tham gia thị trường và người xây dựng nên theo dõi một số luồng đang phát triển. Thứ nhất, sự kiện Drift Protocol và sự cố của Zerion cùng nhau minh họa rằng các tác nhân liên kết DPRK đang theo đuổi một cách tiếp cận nhiều giai đoạn, dài hạn kết hợp social engineering truyền thống với việc tạo nội dung được AI tăng cường. Điều này ngụ ý rằng các biện pháp khắc phục ngắn hạn—như vá một lỗ hổng duy nhất hoặc cảnh báo về mã đáng ngờ—sẽ không đủ nếu không có kiểm soát danh tính và truy cập được tăng cường trên toàn bộ tổ chức.

Thứ hai, sự mở rộng của lừa đảo hỗ trợ bởi AI vào các kênh cộng tác thông thường cho thấy rằng những người bảo vệ nên tăng cường giám sát cho các phiên đăng nhập bất thường, leo thang đặc quyền không bình thường và giả mạo đáng ngờ trong các nền tảng nhắn tin và họp nội bộ. Như SEAL và Mandiant đã chỉ ra, kẻ tấn công tận dụng các mối quan hệ tin cậy đã có sẵn để giảm nghi ngờ, khiến sự cảnh giác ở cấp độ con người trở nên thiết yếu bên cạnh các kiểm soát kỹ thuật.

Cuối cùng, hệ sinh thái rộng lớn hơn nên dự đoán báo cáo công khai và phân tích tiếp tục từ các nhà nghiên cứu khi nhiều sự cố xuất hiện. Sự hội tụ của AI với social engineering đặt ra câu hỏi về các tiêu chuẩn quy định và ngành cho phản ứng sự cố, quản lý rủi ro nhà cung cấp và giáo dục người dùng. Khi ngành hấp thụ những bài học này, sẽ rất quan trọng để theo dõi cách các ví, giao thức và công ty bảo mật thích nghi với sổ tay tấn công ngày càng nhấn mạnh yếu tố con người kết hợp với công cụ AI.

Để có bối cảnh liên tục, độc giả có thể xem xét phân tích khai thác Drift Protocol liên kết với cùng hoạt động liên kết DPRK, tư vấn của SEAL theo dõi UNC1069, và đánh giá của Mandiant về các kỹ thuật của nhóm, bao gồm lừa đảo hỗ trợ bởi AI. Bình luận từ các nhà nghiên cứu đã nghiên cứu các tác nhân DPRK—như Taylor Monahan và Elliptic—giúp làm sáng tỏ chiều sâu và sự dai dẳng của mối đe dọa, nhấn mạnh rằng bối cảnh đe dọa không chỉ về hợp đồng thông minh bị lộ mà còn về cách các nhóm bảo vệ con người của họ cũng như mã nguồn của họ.

Khi lĩnh vực này phát triển, những phát triển cần theo dõi bao gồm cập nhật vụ việc mới từ Zerion và Drift Protocol, bất kỳ thay đổi nào trong công cụ của tác nhân đe dọa, và các phản ứng quy định nhằm cải thiện tính minh bạch và khả năng phục hồi trong các doanh nghiệp tiền điện tử. Mạch chính chính vẫn rõ ràng: biện pháp phòng thủ mạnh nhất kết hợp vệ sinh danh tính mạnh mẽ với tư thế bảo mật cảnh giác, được AI thông tin có thể phát hiện và ngăn chặn các chiến dịch social engineering tinh vi trước khi chúng tấn công.

Bài viết này ban đầu được xuất bản dưới tiêu đề North Korean Hackers Deploy AI-Driven Social Engineering on Zerion trên Crypto Breaking News – nguồn tin cậy của bạn cho tin tức tiền điện tử, tin tức Bitcoin và cập nhật blockchain.