Tác nhân đe dọa liên kết với Triều Tiên, được biết đến với tên gọi UNC1069, đã bị phát hiện nhắm mục tiêu vào lĩnh vực tiền điện tử để đánh cắp dữ liệu nhạy cảm từ các hệ thống Windows và macOS với mục tiêu cuối cùng là tạo điều kiện cho hành vi trộm cắp tài chính.
"Vụ xâm nhập dựa vào một kế hoạch kỹ thuật xã hội liên quan đến một tài khoản Telegram bị xâm nhập, một cuộc họp Zoom giả mạo, một vectơ lây nhiễm ClickFix, và việc sử dụng video do AI tạo ra để lừa nạn nhân," các nhà nghiên cứu Ross Inman và Adrian Hernandez của Google Mandiant cho biết.
UNC1069, được đánh giá là đã hoạt động từ ít nhất tháng 4 năm 2018, có lịch sử thực hiện các chiến dịch kỹ thuật xã hội để thu lợi tài chính bằng cách sử dụng các lời mời họp giả mạo và đóng giả làm nhà đầu tư từ các công ty uy tín trên Telegram. Nhóm này cũng được cộng đồng an ninh mạng rộng lớn hơn theo dõi dưới các biệt danh CryptoCore và MASAN.
Trong một báo cáo được công bố vào tháng 11 năm ngoái, Google Threat Intelligence Group (GTIG) đã chỉ ra việc tác nhân đe dọa này sử dụng các công cụ trí tuệ nhân tạo (AI) tạo sinh như Gemini để tạo ra tài liệu mồi nhử và các thông điệp khác liên quan đến tiền điện tử, như một phần trong nỗ lực hỗ trợ các chiến dịch kỹ thuật xã hội của chúng.
Nhóm này cũng bị phát hiện cố gắng lạm dụng Gemmini để phát triển mã đánh cắp tiền điện tử, cũng như tận dụng hình ảnh và video deepfake mô phỏng các cá nhân trong ngành tiền điện tử trong các chiến dịch của chúng nhằm phân phối một backdoor có tên BIGMACHO cho nạn nhân, ngụy trang nó dưới dạng bộ công cụ phát triển phần mềm (SDK) của Zoom.
"Ít nhất từ năm 2023, nhóm đã chuyển từ các kỹ thuật spear-phishing và nhắm mục tiêu tài chính truyền thống (TradFi) sang ngành công nghiệp Web3, như các sàn giao dịch tập trung (CEX), nhà phát triển phần mềm tại các tổ chức tài chính, các công ty công nghệ cao và các cá nhân tại các quỹ đầu tư mạo hiểm," Google cho biết.
Trong vụ xâm nhập mới nhất được bộ phận tình báo mối đe dọa của gã khổng lồ công nghệ ghi nhận, UNC1069 được cho là đã triển khai tới bảy họ mã độc độc đáo, bao gồm một số họ mã độc mới như SILENCELIFT, DEEPBREATH và CHROMEPUSH.
Quy trình tấn công
Tất cả bắt đầu khi một nạn nhân được tác nhân đe dọa tiếp cận qua Telegram bằng cách mạo danh các nhà đầu tư mạo hiểm và, trong một số trường hợp, thậm chí sử dụng các tài khoản bị xâm nhập của các doanh nhân và người sáng lập startup hợp pháp. Sau khi thiết lập liên lạc, tác nhân đe dọa sử dụng Calendly để lên lịch một cuộc họp 30 phút với họ.
Liên kết cuộc họp được thiết kế để chuyển hướng nạn nhân đến một trang web giả mạo Zoom ("zoom.uswe05[.]us"). Trong một số trường hợp, các liên kết cuộc họp được chia sẻ trực tiếp qua tin nhắn trên Telegram, thường sử dụng tính năng siêu liên kết của Telegram để ẩn các URL phishing.
Bất kể phương pháp nào được sử dụng, ngay khi nạn nhân nhấp vào liên kết, họ sẽ được hiển thị một giao diện cuộc gọi video giả mạo Zoom, yêu cầu họ bật camera và nhập tên. Một khi mục tiêu tham gia cuộc họp, họ sẽ được hiển thị một màn hình giống như một cuộc họp Zoom thực sự.
Tuy nhiên, có nghi ngờ rằng các video là deepfake hoặc các đoạn ghi hình thực bị thu giữ một cách lén lút từ các nạn nhân khác đã từng là nạn nhân của cùng một kế hoạch. Điều đáng chú ý là Kaspersky đang theo dõi chiến dịch tương tự dưới tên GhostCall, đã được ghi lại chi tiết vào tháng 10 năm 2025.
"Cảnh quay webcam của họ đã bị ghi lại mà không hề hay biết, sau đó được tải lên cơ sở hạ tầng do kẻ tấn công kiểm soát và tái sử dụng để đánh lừa các nạn nhân khác, khiến họ tin rằng họ đang tham gia vào một cuộc gọi trực tiếp thực sự," nhà cung cấp bảo mật của Nga lưu ý vào thời điểm đó. "Khi video phát lại kết thúc, trang web đã chuyển đổi mượt mà sang hiển thị hình ảnh hồ sơ của người dùng đó, duy trì ảo giác về một cuộc gọi trực tiếp."
Cuộc tấn công chuyển sang giai đoạn tiếp theo khi nạn nhân được hiển thị một thông báo lỗi giả mạo về sự cố âm thanh, sau đó họ được nhắc tải xuống và chạy một lệnh khắc phục sự cố kiểu ClickFix để giải quyết vấn đề. Trong trường hợp macOS, các lệnh dẫn đến việc phân phối một AppleScript mà sau đó sẽ thả một tệp nhị phân Mach-O độc hại lên hệ thống.
Các họ mã độc được triển khai
Được gọi là WAVESHAPER, tệp thực thi C++ độc hại được thiết kế để thu thập thông tin hệ thống và phân phối một trình tải xuống dựa trên Go có tên mã là HYPERCALL, sau đó được sử dụng để phân phối các payload bổ sung -
- Một thành phần backdoor Golang tiếp theo được gọi là HIDDENCALL, cung cấp quyền truy cập bàn phím trực tiếp vào hệ thống bị xâm nhập và triển khai một trình khai thác dữ liệu dựa trên Swift có tên DEEPBREATH.
- Một trình tải xuống C++ thứ hai có tên SUGARLOADER, được sử dụng để triển khai CHROMEPUSH.
- Một backdoor C/C++ tối giản được gọi là SILENCELIFT, gửi thông tin hệ thống đến máy chủ command-and-control (C2).
DEEPBREATH được trang bị để thao túng cơ sở dữ liệu Transparency, Consent, and Control (TCC) của macOS nhằm giành quyền truy cập hệ thống tệp, cho phép nó đánh cắp thông tin đăng nhập iCloud Keychain và dữ liệu từ Google Chrome, Brave, Microsoft Edge, Telegram và ứng dụng Apple Notes.
Tương tự DEEPBREATH, CHROMEPUSH cũng hoạt động như một trình đánh cắp dữ liệu, nhưng nó được viết bằng C++ và được triển khai dưới dạng một tiện ích mở rộng trình duyệt cho Google Chrome và Brave bằng cách mạo danh là công cụ chỉnh sửa Google Docs ngoại tuyến. Nó cũng có khả năng ghi lại các phím gõ, theo dõi các đầu vào tên người dùng và mật khẩu, và trích xuất cookie trình duyệt.
"Khối lượng công cụ được triển khai trên một máy chủ duy nhất cho thấy một nỗ lực rất kiên quyết để thu thập thông tin đăng nhập, dữ liệu trình duyệt và token phiên nhằm tạo điều kiện cho hành vi trộm cắp tài chính," Mandiant cho biết. "Mặc dù UNC1069 thường nhắm mục tiêu vào các startup tiền điện tử, nhà phát triển phần mềm và các công ty đầu tư mạo hiểm, việc triển khai nhiều họ mã độc mới cùng với trình tải xuống SUGARLOADER đã biết cho thấy sự mở rộng đáng kể về khả năng của chúng."
