Il panorama della sicurezza informatica è in continua evoluzione, con minacce sempre più sofisticate che sfruttano le nuove tecnologie. Un caso particolarmente significativo riguarda il gruppo di hacker UNC1069, noto anche come MASAN, CryptoCore o Bluenoroff, che ha utilizzato l’intelligenza artificiale per orchestrare attacchi mirati contro il settore delle criptovalute.
Nel periodo tra fine 2025 e inizio 2026, UNC1069 ha condotto un attacco sofisticato contro un dirigente dell’industria delle criptovalute. L’operazione è iniziata con il compromesso dell’account Telegram di un altro dirigente del settore, utilizzato successivamente per organizzare una finta riunione su Zoom. Gli aggressori hanno creato un sito web fraudolento (zoom.uswe05.us) che simulava la piattaforma di videoconferenza e hanno utilizzato un video deepfake generato con intelligenza artificiale per impersonare un CEO durante la chiamata. Attraverso una tecnica di infezione denominata ClickFix, i criminali sono riusciti a incorporare comandi malevoli che hanno portato all’installazione di malware, tra cui il downloader SUGARLOADER.
Particolarmente preoccupante è stato l’uso di Google Gemini AI da parte degli attaccanti per raccogliere informazioni sui portafogli di criptovalute, generare modelli di phishing in spagnolo e sviluppare strumenti malevoli. Secondo il Google Threat Intelligence Group (GTIG), l’adozione dell’intelligenza artificiale da parte di UNC1069 è stata documentata per tutto il 2025, evidenziando una tendenza crescente.
Questo incidente rappresenta un significativo salto di qualità nelle tattiche dei criminali informatici. L’utilizzo combinato di social engineering avanzato, deepfake e intelligenza artificiale generativa mostra come le nuove tecnologie possano essere sfruttate per attacchi più convincenti e difficili da rilevare. Il settore delle criptovalute, già bersaglio privilegiato per il suo valore economico, diventa ancora più vulnerabile di fronte a queste minacce evolute.
Per proteggersi da simili attacchi, le aziende dovrebbero implementare l’autenticazione a più fattori su tutte le piattaforme di comunicazione, formare i dipendenti a riconoscere i segnali di manipolazione digitale, e verificare sempre l’identità degli interlocutori attraverso canali secondari durante comunicazioni sensibili. È inoltre fondamentale mantenere aggiornati i sistemi di sicurezza e monitorare attivamente le attività sospette.
- In conclusione:
- L’integrazione dell’intelligenza artificiale nelle strategie di attacco rappresenta una nuova frontiera delle minacce informatiche
- I settori ad alto valore economico, come quello delle criptovalute, sono particolarmente a rischio
- La combinazione di tecniche tradizionali di social engineering con tecnologie avanzate richiede un approccio di sicurezza più sofisticato e consapevole
Fonti:
https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering
https://moonlock.com/google-warns-new-ai-malware
https://www.vectra.ai/blog/how-threat-actors-turned-ai-into-a-weapon
https://www.aicerts.ai/news/cryptocore-ai-misuse-powers-gemini-enabled-north-korean-raids
Fonte: Mandiant