O cenário da guerra cibernética patrocinada por estados está a passar por uma transformação significativa, com a inteligência artificial avançada a ser agora uma ferramenta primária para atores hostis. Um relatório recente da empresa de cibersegurança Genians ilumina como o notório grupo de hackers Kimsuky, da Coreia do Norte, está a usar IA, incluindo plataformas como o ChatGPT, para executar campanhas de espionagem sofisticadas. Estas operações, que vão desde a criação de identificações militares deepfake convincentes até à infiltração em grandes corporações dos EUA, sublinham uma crescente ameaça global que desafia as defesas tradicionais de cibersegurança e contorna as sanções internacionais.
Uma campanha notável detalhada pela Genians envolveu o Kimsuky a usar o ChatGPT para gerar uma identificação militar sul-coreana falsa. Esta identificação deepfake foi então usada em e-mails de phishing direcionados a um grupo demográfico crítico: jornalistas, investigadores e trabalhadores de direitos humanos com ligações a questões norte-coreanas. Os e-mails foram meticulosamente concebidos para parecerem legítimos, originando-se de um domínio .mil.kr falsificado, e continham malware incorporado pronto para comprometer os dispositivos dos destinatários. Os investigadores da Genians confirmaram o papel da IA na criação da identificação enganosa, observando que os atacantes contornaram com sucesso as restrições iniciais da plataforma através de uma engenharia de prompts cuidadosa.
A implantação estratégica de IA por operativos norte-coreanos estende-se para além do phishing direto. Num incidente separado, a empresa de IA Anthropic revelou que hackers ligados a Pyongyang utilizaram o seu modelo Claude Code para se candidatarem a posições remotas em empresas Fortune 500 dos EUA. Esta tática sofisticada permitiu-lhes passar entrevistas de codificação, fabricar históricos de trabalho abrangentes e até completar tarefas técnicas após a contratação, obtendo assim acesso direto a sistemas corporativos sem a necessidade de violar firewalls convencionais. De forma semelhante, a OpenAI tomou medidas ao banir contas ligadas à Coreia do Norte que exploraram as suas ferramentas para gerar currículos falsos, cartas de apresentação e perfis de redes sociais com o objetivo de facilitar as campanhas ilícitas do regime.
Imperativo Estratégico de Pyongyang
Estas táticas cibernéticas em evolução são parte integrante da estratégia nacional mais ampla da Coreia do Norte. De acordo com Mun Chong-hyun, diretor da Genians, a IA está agora integrada em todas as fases do processo de hacking, desde o planeamento e criação de ferramentas até à execução de phishing e personificação. O governo dos EUA há muito que afirma que Pyongyang emprega operações cibernéticas, incluindo roubo de criptomoedas e contratos de TI sombra, para recolher informações e gerar fundos críticos para o seu programa de armas nucleares, contornando assim as rigorosas sanções internacionais. Um aviso de 2020 do Departamento de Segurança Interna dos EUA descreveu especificamente o Kimsuky como um grupo provavelmente encarregado de uma missão global de recolha de informações pelo regime norte-coreano.
Ativo desde 2012, o Kimsuky tem um histórico documentado de visar especialistas em política externa, think tanks e agências governamentais na Coreia do Sul, Japão e Estados Unidos. O seu método principal tem sido tipicamente o spearphishing para extrair informações sensíveis e monitorizar discussões de alto nível sobre estratégia nuclear, sanções e segurança regional. O mais recente relatório da Genians confirma a continuação deste padrão, com as vítimas cuidadosamente escolhidas pela sua relevância para os assuntos norte-coreanos.
Melhorar as Defesas de Cibersegurança
A crescente sofisticação destes ataques impulsionados por IA levou a avisos urgentes de autoridades dos EUA e da Coreia do Sul. A capacidade de falsificar domínios de e-mail militares e incorporar malware em mensagens aparentemente inócuas destaca a potência destes novos métodos. Agências de cibersegurança, incluindo CISA, FBI e CNMF, estão a apelar a indivíduos e organizações que operam em campos sensíveis relacionados com a Coreia do Norte para reforçarem significativamente as suas defesas digitais. As principais recomendações incluem a adoção generalizada de autenticação multifator, formação obrigatória sobre consciencialização de phishing e a implementação de filtros mais robustos para e-mails suspeitos. Estas medidas são cruciais, pois a Coreia do Norte continua a explorar os avanços tecnológicos para contornar as sanções e prosseguir os seus objetivos geopolíticos.