تُكثّف جماعة إجرامية مرتبطة بكوريا الشمالية جهودها في مجال الهندسة الاجتماعية. ووفقًا لتقرير جديد صادر عن فريق مانديانت التابع لشركة جوجل، تُدمج هذه الجماعة برامج تضليل تعتمد على الذكاء الاصطناعي في هجمات إلكترونية تستهدف العملات المشفرة.
وتعكس هذه الخطوة التطور المستمر للأنشطة السيبرانية المدعومة من الدولة والتي تستهدف قطاع الأصول الرقمية، والتي شهدت زيادة كبيرة في عام 2025.
مكالمة وهمية عبر تطبيق زووم تتسبب في هجوم برمجيات خبيثة على شركة عملات مشفرة
في أحدث تقرير لها، فصّلت شركة مانديانت تحقيقها في اختراق مُستهدف لشركة تكنولوجيا مالية متخصصة في العملات المشفرة. ونُسب الهجوم إلى مجموعة UNC1069 الإجرامية، وهي جماعة ذات دوافع مالية تنشط منذ عام 2018 على الأقل ولها صلات بكوريا الشمالية.
وجاء في التقرير: "لاحظت شركة مانديانت أن هذا الفاعل التهديدي قد طور تكتيكاته وتقنياته وإجراءاته وأدواته وأهدافه. ومنذ عام 2023 على الأقل، انتقلت المجموعة من تقنيات التصيد الاحتيالي الموجه واستهداف التمويل التقليدي إلى قطاع Web3، مثل البورصات المركزية ومطوري البرامج في المؤسسات المالية وشركات التكنولوجيا المتقدمة والأفراد في صناديق رأس المال الاستثماري".
بحسب المحققين، بدأ الاختراق بحساب تيليجرام مخترق يعود لأحد المسؤولين التنفيذيين في مجال العملات الرقمية. استخدم المهاجمون الحساب المسروق للتواصل مع الضحية، وكسبوا ثقته تدريجياً قبل إرسال دعوة عبر تطبيق Calendly لحضور مؤتمر فيديو.
أحال رابط الاجتماع الضحية إلى نطاق مزيف لبرنامج زووم مُستضاف على بنية تحتية يتحكم بها المهاجمون. وخلال المكالمة، أفاد الضحية برؤية ما بدا أنه فيديو مُفبرك بتقنية التزييف العميق للرئيس التنفيذي لشركة أخرى تعمل في مجال العملات الرقمية.
ويضيف التقرير: "على الرغم من أن شركة مانديانت لم تتمكن من استعادة الأدلة الجنائية للتحقق بشكل مستقل من استخدام نماذج الذكاء الاصطناعي في هذه الحالة المحددة، إلا أن الحيلة المبلغ عنها تشبه حادثة تم الإبلاغ عنها علنًا سابقًا ذات خصائص مماثلة، والتي يُزعم أنها استخدمت أيضًا تقنية التزييف العميق".
قام المهاجمون بخلق وهم وجود مشاكل صوتية أثناء الاجتماع لتبرير خطوتهم التالية. وطلبوا من الضحية تشغيل أوامر استكشاف الأخطاء وإصلاحها على جهازه.
بدأت هذه الأوامر، المصممة خصيصًا لأنظمة macOS وWindows، سلسلة العدوى سرًا، مما أدى إلى توزيع مكونات برامج ضارة متعددة.
حددت شركة مانديانت سبع عائلات برمجيات خبيثة مختلفة تم توزيعها أثناء عملية الاختراق. صُممت هذه الأدوات لسرقة بيانات اعتماد سلسلة المفاتيح، واستخراج ملفات تعريف الارتباط وبيانات تسجيل الدخول إلى المتصفح، والوصول إلى معلومات جلسات تيليجرام، وجمع ملفات حساسة أخرى.
توصل المحققون إلى أن الهدف كان ذا شقين: تمكين سرقة العملات المشفرة المحتملة وجمع البيانات التي يمكن أن تدعم هجمات الهندسة الاجتماعية المستقبلية.
كشف التحقيق عن حجم كبير غير معتاد من الأدوات التي تم تنزيلها على جهاز واحد. وهذا يشير إلى محاولة دقيقة لجمع أكبر قدر ممكن من البيانات من الشخص المخترق.
يُعدّ هذا الحادث جزءًا من نمط أوسع، وليس حالةً معزولة. ففي ديسمبر 2025، أفاد موقع BeInCrypto أن مجرمين مرتبطين بكوريا الشمالية سرقوا أكثر من 300 مليون دولار أمريكي بانتحال شخصيات بارزة في هذا المجال خلال اجتماعات احتيالية على منصتي Zoom وMicrosoft Teams.
كان حجم النشاط على مدار العام أكثر إثارة للدهشة. ففي عام 2025، كانت الجماعات الإجرامية الكورية الشمالية مسؤولة عن سرقة أصول رقمية بقيمة 2.02 مليار دولار، بزيادة قدرها 51% عن العام السابق.
كشفت شركة Chainalysis أيضاً أن مجموعات الاحتيال المرتبطة بمزودي خدمات الذكاء الاصطناعي عبر سلسلة الكتل تُظهر كفاءة تشغيلية أعلى بكثير من تلك التي لا ترتبط بهم. ووفقاً للشركة، يشير هذا التوجه إلى مستقبل سيصبح فيه الذكاء الاصطناعي عنصراً أساسياً في معظم عمليات الاحتيال.
مع تزايد سهولة الوصول إلى أدوات الذكاء الاصطناعي وتطورها، أصبح إنشاء مقاطع فيديو مزيفة مقنعة أسهل من أي وقت مضى. والخطوة التالية هي معرفة ما إذا كان قطاع العملات المشفرة قادرًا على تطوير أنظمته الأمنية بالسرعة الكافية لمواجهة هذه التهديدات المتقدمة.
ظهرت المقالة "كيف يحول قراصنة كوريا الشمالية مكالمات الفيديو المزيفة بتقنية التزييف العميق عبر تطبيق زووم إلى عمليات سرقة للعملات المشفرة" لأول مرة على موقع BeInCrypto .