Kimuky Apt Grubu, DeepFake Güney Kore Askeri Ajansı Kimlik Kartları hazırlamak için üretken AI Chatgpt’ten yararlanmaya başladı.
Kimlik avı lures, sofistike şaşkınlık yoluyla anti-virüs taramasından kaçmak için tasarlanmış toplu iş dosyaları ve otomatik komut dosyaları sunar. Kuruluşlar, gizli komut dosyalarını ve güvenli uç noktaları maskelemek için uç nokta algılama ve yanıt (EDR) çözümlerini dağıtmalıdır.
17 Temmuz 2025’te, Genel Güvenlik Merkezi (GSC), Kuzey Kore’nin savunma ile ilgili bir kurumu taklit eden Kimuky grubuna atfedilen bir mızrak avı kampanyası belirledi.
Saldırganlar, chatgpt kullanarak örnek askeri kimlik kartı görüntüleri oluşturdu ve bu derin dişleri bir kimlik çıkarma incelemesi isteği olarak gizlenmiş bir mızrak aktı cazibesine yerleştirdiler.
“Derin öğrenme” ve “sahte” bir karışımı olan derin peynir, gerçek bireyleri ikna edici bir şekilde taklit eden AI tarafından üretilen veya manipüle edilmiş medyayı ifade eder.
İlk olarak 2017 yılında ünlü Face Swaps için popüler olan teknoloji, şimdi devlet destekli aktörlerin casusluk operasyonları için sahte kimlik üretmelerini sağlıyor. Bu rapor, gerçek dünyadaki AI Deepfake sömürüsünü analiz eder, tehdit bilgilerini elde eder ve potansiyel savunma önlemlerini özetler.
Temmuz ayının başlarında, GSC, Güney Kore portal güvenlik işlevlerini taklit eden APT PHISH’i detaylandıran “ClickFix Taktik Analiz Raporu” nu yayınladı.
Aynı kötü amaçlı yazılım ailesi – Popup Windows aracılığıyla teslim edilen çok sayıda PowerShell komutları – DeepFake kampanyasında yer aldı. ChatGPT odaklı kimlik sahteciliğinden önce, Kimsuky ayrıca “AI sizin adınıza e -postaları yöneten” adlı e -posta konularını da gönderdi.
Bu arada, ABD AI satıcısı Antropic, Kuzey Koreli BT işçilerinin sanal kimlikler üretmek ve teknik görüşmeleri tamamlamak, uluslararası yaptırımları atlatmak ve yabancı para kazanmak için üretken yapay zekayı kötüye kullandıklarını bildirdi.
Güney Kore Dışişleri Bakanlığı, Kuzey Koreli BT yüklenicilerine dış kaynak kullanımının IP hırsızlığı, itibar ve yasal riskler oluşturduğu konusunda uyardı.
Bu gelişmeler, AI araçlarının devlet destekli tehdit yeteneklerini nasıl artırdığını ve işe alım ve operasyonel iş akışlarında uyanık izleme gerektirdiğini vurgulamaktadır.
Teknik analiz
Deep Peşen Kimliği Mızrak-Akış
Temmuz ayında, saldırganlar bir askeri kurumun alan adını yakından sahte bir e -posta gönderdi. Mesajda, kötü niyetli bir Windows kısayolunu (.lnk) açan bir “hükümet_id_drafi (***). Zip” arşivi içeriyordu.
Güvenlik bilincine sahip kullanıcılar genellikle alışılmadık e-posta eklerine karşı dikkatlidir ve bunları açmaktan kaçınırlar, bu da APT tehdit aktörleri tarafından iyi anlaşılır.
.Lnk, gizlenmiş bir dizeyi tutan bir ortam değişkeni ayarlamak için cmd.exe’yi başlattı, ardından bir PowerShell komutunu yeniden yapılandırmak ve çağırmak için karakterleri sırayla çıkardı.
Bu komut, hem AI tarafından oluşturulan kimlik görüntüsünü hem de ‘lhudpc3g.bat’ ‘bir toplu dosyayı indirmek için özel bir C2 sunucusuyla iletişime geçti. Görüntü meta verileri chatgpt’i kökeni olarak ortaya koydu ve bir derin peynir dedektörü% 98 olasılıkla işaretledi.
Askeri hükümet çalışan kimlikleri yasal olarak korunan kimlik belgeleri olduğundan, aynı veya benzer formda kopyalar üretmek yasadışıdır.
Toplu komut dosyası, bir Hancom Ofis güncellemesi kisvesi kapsamında görev zamanlayıcısı aracılığıyla daha fazla yük yürütme kaydeden komutları yeniden yapılandırmak için benzer dilimleme tabanlı şaşkınlık kullandı.
Otomatik ve toplu komut dosyaları aracılığıyla şaşkınlık
İlk parti ve otomatik komut dosyaları, statik analizi engelleyerek dizeleri şifrelemek için dönen bir Vigenère tarzı şifre kullandı.
Ayrıştırılmış Otomatik Kodu, tekrarlayan anahtar ve bit dizisine göre karakter kaymaları uygulayan işlevleri ortaya çıkardı.
Yedi saniyelik yürütme gecikmelerinden sonra – sanal alan zaman aşımlarını atlamak için bir taktik – ek kabin yüklerini indirdi ve parçaladı, daha sonra meşru yazılım güncellemeleri olarak gizlenmiş tekrarlanan görevler.
Bu katmanlı kaçırma teknikleri, manuel analizi karmaşıklaştırırken imza bazlı anti-virüsün ötesine geçer.
Savunma ve Öneriler
Sadece imzalı anti-virüs çözümleri derinden gizlenmiş senaryoları ve AI tarafından oluşturulan tuzakları tespit etmek için mücadele ediyor. Genian EDR gibi uç nokta algılama ve yanıt (EDR) platformları aşağıdakiler için gereklidir.
- Yürütme zamanında LNK kısayol dosyalarını ve tıkılaşmamış PowerShell komutlarını tanımlama.
- Şüpheli kabin dosyalarının dekompresyonu ve bilinen uygulama güncelleme modellerinden sapma dahil olmak üzere davranış tabanlı anomalileri işaretleme.
- Phishing e -posta varışını, komut dosyasını yeniden yapılandırmayı, C2 iletişimi ve planlanmış görev oluşturmayı birbirine bağlayan hikayeler aracılığıyla tam saldırı yürütme zincirlerini görselleştirme.
EDR, işlem ağaçlarının, çevre değişken manipülasyonlarının ve giden ağ bağlantılarının gerçek zamanlı izlenmesini birleştirerek, Gizleme katmanlarının çözülmesini ve veri açığa çıkmadan önce tehditlerin nötralize edilmesini sağlar.
Kimuky Group’un DeepFake yaratma için ChatGPT’yi benimsemesi, APT operasyonlarında yeni bir sınıra işaret ediyor.
Üretken AI ikna edici tuzakların üretimini hızlandırırken, parti ve otoit senaryolarında gelişmiş gizleme geleneksel savunmalardan kaçınır.
Kuruluşlar, gizlenmiş kod içinde gizlenen kötü niyetli davranışları tespit etmek ve gelişen AI ile çalışan siber tehditlere karşı sürekli uç nokta güvenliğini korumak için sağlam EDR dağıtımlarına doğru dönmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.