Специализированная северокорейская хакерская группа UNC1069, действующая под эгидой Разведывательного бюро Генерального штаба КНДР (RGB), совершила беспрецедентную атаку на криптовалютную компанию. В ходе этой операции злоумышленники впервые в практике киберпреступников КНДР использовали генерацию дипфейк-видео руководства в прямом эфире видеозвонка. Кроме того, в марте 2026 года этой же группе была атрибутирована компрометация популярного пакета Axios, что существенно расширило её атакующую поверхность.
Описание
Группировка UNC1069 находится под наблюдением Mandiant (подразделение Google Cloud) как минимум с 2018 года. Эксперты с высокой степенью уверенности связывают её с северокорейской разведкой. За время своей деятельности UNC1069 и смежные кластеры, по оценкам ООН, похитили более трёх миллиардов долларов в криптовалюте. Эти средства напрямую направляются на финансирование ракетной и ядерной программ КНДР.
В феврале 2026 года специалисты Google Threat Intelligence Group (GTIG) задокументировали инцидент, в ходе которого UNC1069 атаковала финтех-стартап. Сначала преступники захватили учётную запись в Telegram, принадлежавшую реальному руководителю смежной цифровой компании. Используя этот скомпрометированный канал, они связались с жертвой - топ-менеджером криптовалютного проекта. Как отмечается в отчёте, ключевым элементом атаки стал приглашение на видеоконференцию в Zoom. Во время звонка злоумышленники применили созданное в реальном времени дипфейк-видео одного из инвесторов, с которым жертва была знакома. Это первый публично подтверждённый случай использования живой дипфейк-подмены в атаках северокорейских хакеров.
Однако дипфейк стал лишь частью атакующей цепочки. Сразу после завершения звонка или во время него жертве демонстрировали ложное сообщение о технической ошибке - якобы неполадке с аудио или видео. Чтобы "исправить" проблему, пользователю предлагали скопировать определённую команду в окно "Выполнить" Windows или в терминал. Эта техника, известная как ClickFix, использует доверие человека к "официальным" советам. Выполнение вредоносной команды приводило к запуску целого каскада загрузок. В этом случае специалисты Mandiant подтвердили развёртывание сразу семи уникальных семейств вредоносного ПО, одновременно нацеленных как на Windows, так и на macOS. Среди них выделяется бэкдор FULLHOUSE, обеспечивающий постоянный удалённый доступ.
Техника ClickFix не нова. Однако с 2024 года её всё активнее применяют группировки, связанные с КНДР. В февральском эпизоде она была интегрирована с высочайшим уровнем социальной инженерии. Кроме того, злоумышленники продемонстрировали многоэтапную верификацию контакта. Перед звонком они через поддельные каналы в Telegram, Slack и LinkedIn создавали видимость легитимного делового общения. Аналитики подчёркивают, что все эти каналы в итоге вели на предложение встретиться в Zoom.
Цепочка атаки в данном случае была выверена до мелочей. Сначала UNC1069 проводила разведку, собирая открытые данные о жертве в соцсетях и профессиональных форумах. Затем шёл захват доверенной учётной записи Telegram. После установления контакта происходил сам звонок с дипфейком. Затем следовал ClickFix, выполнение полезной нагрузки, закрепление в системе и, наконец, кража криптовалютных ключей, паролей из браузера и API-ключей бирж. Похищенные средства быстро отмывались через миксеры и межсетевые мосты.
Но наиболее значительным событием стала атака на цепочку поставок разработчиков программного обеспечения. 31 марта 2026 года GTIG официально атрибутировала UNC1069 компрометацию npm-пакета Axios. Эта библиотека, насчитывающая более 200 миллионов загрузок в неделю, является зависимостью для сотен тысяч Node.js-приложений по всему миру. Злоумышленники внедрили вредоносный код в одну из версий пакета. В результате её установка на сборочных серверах и в локальных средах разработчиков позволяла хакерам получать доступ к переменным окружения, ключам и другим секретам. Это была целенаправленная и скрытная атака, не имевшая прямых признаков, привычных при компрометации учётных записей.
Таким образом, группа UNC1069 продемонстрировала способность совмещать два принципиально разных вектора: прямую социальную инженерию с применением передовых технологий искусственного интеллекта и точечное отравление широко распространённых открытых компонентов. Оба метода нацелены на один результат - хищение цифровых активов. Однако если в первом случае жертвами становятся конкретные руководители криптокомпаний, то во втором под удар попадают сотни тысяч разработчиков, обслуживающих эти же компании. Эксперты по безопасности уже рекомендуют проверить версии Axios, установленные в системах непрерывной интеграции, и немедленно обновить их до чистых версий. Подобные инциденты со всей очевидностью показывают, что государственный кибершпионаж и киберпреступность в сфере криптовалют всё чаще идут рука об руку, используя одни и те же методы, а размер похищенных сумм - уже не менее трёх миллиардов долларов - делает эти атаки серьёзной угрозой для всей мировой финансовой экосистемы.
Индикаторы компрометации
IPv4
- 185.220.101.47
- 45.142.212.100
Domains
- cdn-meet.com
- ms-teams-update.net
- zoom-update.live
