Hackers norte-coreanos aceleram campanhas sofisticadas com deepfake de IA contra a indústria cripto

Os hackers ligados ao regime da Coreia do Norte estão a implementar novas táticas de ataque mais sofisticadas contra profissionais de criptomoedas, através de vídeos deepfake gerados com inteligência artificial. Segundo relatos recentes, estes hackers conseguem enganar os seus alvos ao se fazerem passar por pessoas de confiança através de chamadas de vídeo manipuladas digitalmente, forçando a instalação de malware nos seus dispositivos. A operação representa uma escalada significativa na guerra cibernética contra a comunidade de criptomoedas, combinando técnicas de engenharia social com tecnologias de ponta.

O engano visual: como operam estas campanhas sofisticadas

Martin Kuchař, um dos principais organizadores do BTC Prague, foi vítima deste método de ataque sofisticado. Os cibercriminosos estabeleceram contacto inicial através de contas de Telegram comprometidas, utilizando videoconferências deepfake para impersonar contactos conhecidos. O truque empregado aproveita um pretexto comum: convencer a vítima de que precisa de instalar um “complemento de áudio” para resolver problemas técnicos em plataformas como Zoom. Uma vez instalado, o software supostamente inofensivo abre as portas a um controlo total do dispositivo comprometido.

Esta metodologia de suplantação de identidade através de falsificações de vídeo evoluiu graças aos avanços em tecnologia de clonagem de voz e imagens sintéticas. Os atacantes investigam cuidadosamente os seus alvos em redes sociais e plataformas profissionais antes de executar o ataque, selecionando vítimas de alto valor na indústria cripto.

Capacidades destrutivas do código malicioso implementado

A firma de investigação em segurança Huntress analisou em profundidade os scripts maliciosos utilizados nestas operações. Os códigos executam infecções multietapa especificamente desenhadas para sistemas macOS, implementando múltiplas funcionalidades perigosas de forma progressiva.

Uma vez dentro do dispositivo, o malware estabelece backdoors para manter acesso persistente mesmo após o utilizador descobrir a infeção. O código também regista cada pressionar de tecla, capturando passwords, frases de recuperação e dados sensíveis. Além disso, o malware acede ao conteúdo da área de transferência do dispositivo, extraindo endereços de carteira e chaves privadas que tenham sido copiados recentemente. O objetivo final é comprometer os ativos de carteira encriptados armazenados na máquina.

Lazarus Group: a organização por trás da campanha

Os investigadores de segurança atribuíram com confiança estas operações ao Lazarus Group, também conhecido como BlueNoroff, uma organização de hackers patrocinada diretamente pelo estado norte-coreano. Este grupo tem sido responsável por alguns dos ciberataques mais notáveis contra a indústria de criptomoedas nos últimos anos, incluindo roubos massivos de exchanges e compromissos de protocolos DeFi.

A equipa de segurança da SlowMist, uma empresa especializada em defesa de blockchain, confirmou que estas campanhas exibem padrões consistentes com operações anteriores do Lazarus Group. Os hackers demonstram um profundo conhecimento da infraestrutura cripto, apontando especificamente para profissionais técnicos, desenvolvedores e operadores de carteiras que têm acesso a ativos significativos. A coordenação e os recursos por trás destas operações confirmam o patrocínio estatal.

A ameaça crescente do deepfake na verificação de identidade

As análises de segurança revelam uma tendência preocupante: as tecnologias de deepfake e clonagem de voz atingiram um nível de sofisticação onde as imagens e vídeos já não podem ser considerados provas confiáveis de autenticidade. No passado, uma chamada de vídeo era considerada uma forma relativamente segura de verificar a identidade de um contacto. Hoje, estes hackers demonstram que uma falsificação digital pode ser praticamente indistinguível do original.

Esta mudança fundamental no panorama de ameaças obriga a indústria de criptomoedas a repensar completamente os seus protocolos de segurança. A confiança no visual já não é suficiente. Os profissionais de cripto devem implementar verificações de identidade multicamadas que não dependam unicamente de confirmação visual ou auditiva.

Medidas defensivas críticas para profissionais de cripto

Perante a sofisticação destes hackers, a comunidade deve adotar práticas de segurança mais robustas. A autenticação multifator é fundamental: qualquer transferência de ativos deve requerer múltiplas verificações independentes, idealmente através de canais completamente separados.

Recomenda-se implementar chaves de segurança de hardware (como YubiKeys) para aceder a carteiras e serviços críticos, eliminando a vulnerabilidade de passwords capturados por keyloggers. Os utilizadores devem desconfiar de qualquer solicitação inesperada de instalação de software, mesmo que provenha de contactos aparentemente confiáveis. Verificar estas solicitações através de canais de comunicação alternativos é essencial.

Além disso, os profissionais de cripto devem considerar utilizar dispositivos dedicados para operações sensíveis de carteira, mantendo estas máquinas isoladas de aplicações de videoconferência ou redes sociais. A indústria deve permanecer vigilante face à evolução das táticas destes hackers, partilhando informações sobre indicadores de compromisso e mantendo sistemas atualizados com os últimos patches de segurança.