Вход

Хакеры усилили атаки: deepfake, Telegram и новое вредоносное ПО

Группа киберпреступников, связанная с Северной Кореей и известная как UNC1069, резко эскалировала свои кампании против крипто- и финтех-компаний. Согласно отчёту компании Mandiant (подразделение Google Cloud), опубликованному в феврале 2026 года, злоумышленники теперь используют глубокие фейки, скомпрометированные Telegram-аккаунты и семь семейств вредоносного ПО, включая три новых — SILENCELIFT, DEEPBREATH и CHROMEPUSH.

📊 Только в 2025 году северокорейские хакеры похитили около $1,4 млрд из криптосферы, включая взлом Bybit на $1,4 млрд и серию атак на стартапы через поддельных фрилансеров.

🎭 Тактика: от deepfake до ClickFix

Самая изощрённая схема UNC1069 — это ClickFix-атака. Злоумышленники:

  1. Компрометируют Telegram-аккаунт основателя криптопроекта
  2. Приглашают жертву на Zoom-встречу, где показывают deepfake-видео «основателя»
  3. Утверждают, что есть проблемы со звуком, и просят запустить «команду для диагностики»
  4. Эта команда на самом деле загружает вредоносный код, дающий полный контроль над системой

Такой подход объединяет передовые ИИ-технологии с классической социальной инженерией, делая атаку почти неотличимой от реального общения.

«Самые опасные угрозы — не те, что ломают системы, а те, что заставляют людей самих их открыть», — Брюс Шнайер, эксперт по кибербезопасности.

🦠 Новое вредоносное ПО: тихое проникновение

Анализ Mandiant выявил три новых вируса:

  • CHROMEPUSH — крадёт данные из браузера: куки, пароли, сессии кошельков
  • DEEPBREATH — обходит защиту ОС и получает доступ к файловой системе
  • SILENCELIFT — собирает информацию о системе, сетях и установленных приложениях

Все они работают в фоне, избегая антивирусов, и отправляют данные на серверы, контролируемые Северной Кореей.

📉 Контекст: системная угроза из КНДР

Северная Корея давно использует криптовалюты для обхода санкций. По данным Chainalysis, в 2025 году страна получила более $2 млрд через киберпреступность. Основные цели:

  • Криптобиржи и протоколы DeFi
  • Стартапы с доступом к капиталу
  • Венчурные фирмы и разработчики

В июне 2025 года четыре агента Lazarus Group проникли в несколько компаний как фрилансеры и украли $900 000 за несколько месяцев.

🛡️ Как защититься?

Эксперты рекомендуют:

  • Никогда не запускать команды из непроверенных источников — даже если это «диагностика» от знакомого
  • Включать двухфакторную аутентификацию в Telegram и использовать облачные резервные копии
  • Проверять участников встреч через дополнительные каналы связи
  • Изолировать рабочие среды — не использовать один компьютер для кошельков, почты и видеозвонков

🔮 Будущее: ИИ как оружие двойного назначения

Deepfake’ы и генеративный ИИ превратили социальную инженерию в промышленный процесс. Раньше требовались недели подготовки, теперь — минуты. Mandiant отмечает, что UNC1069 начал использовать ИИ-приманки в активных операциях ещё в ноябре 2025 года.

Это знаменует переход от «ручных» атак к автоматизированным кампаниям, где каждая жертва получает персонализированную ловушку.

💡 Заключение: доверие — главная уязвимость

Технологии защиты развиваются, но человеческий фактор остаётся слабым звеном. Северокорейские хакеры это понимают лучше всех. Их успех — не в коде, а в умении манипулировать доверием.

Как сказал исследователь из Mandiant: «Они не взламывают ваши системы. Они заставляют вас самих открыть дверь».

12.02.2026, 01:48
Новости