Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

I deepfake vanno in guerra: le false tessere militari generate dall’IA di Kimsuky alimentano l’assalto informatico nordcoreano

I famigerati hacker nordcoreani di Kimsuky alzano il livello del phishing utilizzando false tessere militari create dall’intelligenza artificiale, segnando una nuova era di inganni digitali.

In breve

  • Kimsuky, un gruppo di hacker nordcoreani, sta utilizzando tessere di identità militari generate dall’IA in nuove campagne di phishing.
  • Gli attacchi prendono di mira personale della difesa sudcoreana con email contenenti immagini di documenti d’identità deepfake e malware nascosti.
  • Strumenti di IA come ChatGPT vengono riadattati per creare foto e documenti falsi estremamente convincenti.
  • La campagna malevola è stata rilevata per la prima volta nel luglio 2025 dal Genians Security Center (GSC).
  • Tattiche simili sono state osservate a livello globale, con abusi dell’IA segnalati da hacker di Russia, Cina e Iran.

Il nuovo arsenale IA di Kimsuky: uno scenario dalla cyber-guerra del futuro

Immagina di aprire la tua casella di posta e trovare un’email urgente dall’agenzia della difesa del tuo paese. In allegato, una bozza della tua nuova tessera militare, con una foto che sembra reale in tutto e per tutto - ma non lo è. Dietro questa maschera digitale si nasconde il gruppo nordcoreano Kimsuky, che brandisce l’intelligenza artificiale come ultima arma in una campagna incessante di spionaggio e sabotaggio informatico.

Kimsuky, noto per aver preso di mira enti governativi e della difesa sudcoreani, è da tempo un innovatore nel mondo oscuro del cybercrimine. Le precedenti campagne “ClickFix” inducevano le vittime a eseguire comandi pericolosi simulando avvisi di sicurezza. Oggi il loro modus operandi si è evoluto: ora utilizzano IA all’avanguardia per falsificare tessere di identificazione militare, rendendo i loro tentativi di phishing quasi indistinguibili dagli originali.

Come si svolge l’attacco: deepfake, inganno e malware

L’ultimo attacco, segnalato dagli esperti di sicurezza informatica del GSC, inizia con un’email camuffata da corrispondenza ufficiale di un’istituzione della difesa sudcoreana. L’esca? Un file ZIP che sembra contenere una vera bozza di tessera militare. Ma la foto sulla tessera è un deepfake, realizzato con strumenti di IA come ChatGPT, e ha una probabilità del 98% di essere falsa - ma inganna comunque l’occhio umano.

Una volta che il destinatario apre il file, un programma nascosto si attiva. Dopo un breve ritardo per non destare sospetti, scarica silenziosamente uno script malevolo da un server remoto, quindi installa un’attività camuffata che si esegue ogni sette minuti, spacciandosi per un normale aggiornamento di Hancom Office (una suite per ufficio molto diffusa in Corea). Gli indizi nel codice - con nomi criptici come “Start_juice” ed “Eextract_juice” - sono firme già viste in altre operazioni di Kimsuky.

Il quadro generale: l’arma IA e le implicazioni globali

Questa non è la prima incursione di Kimsuky nell’inganno potenziato dall’IA. Nel giugno 2025, OpenAI ha segnalato hacker nordcoreani che utilizzavano l’IA per fabbricare identità e superare colloqui tecnici di lavoro - infiltrandosi così nelle organizzazioni dall’interno. Il fenomeno non è isolato: anche hacker di Russia, Cina e Iran sono stati sorpresi a sfruttare l’IA, in particolare strumenti come ChatGPT, per rafforzare le loro tecniche di social engineering e diffusione di malware.

Ciò che rende questa ultima campagna così inquietante è la fusione perfetta tra IA e ingegneria sociale. Le tessere deepfake non sono solo falsificazioni digitali; sono armi psicologiche, che sfruttano fiducia, urgenza e l’autenticità di documenti dall’aspetto ufficiale. Con l’accessibilità crescente degli strumenti di IA, il confine tra vero e falso si fa sempre più sottile, rendendo sempre più difficile per individui - e persino organizzazioni - riconoscere la trappola.

Gli esperti avvertono che le misure di sicurezza tradizionali potrebbero non bastare. Soluzioni avanzate come l’Endpoint Detection and Response (EDR), in grado di individuare e neutralizzare script nascosti, sono ormai essenziali. Ma con la corsa agli armamenti informatici in accelerazione, anche la formazione degli utenti a mettere in dubbio persino le credenziali digitali più convincenti diventa fondamentale.

L’ultima mossa di Kimsuky offre uno sguardo sul futuro del cybercrimine - un mondo in cui l’IA falsifica non solo documenti, ma intere identità, e dove la prossima guerra potrebbe combattere non sui campi di battaglia, ma nelle caselle di posta. Con l’inganno digitale sempre più sofisticato, vigilanza, formazione e tecnologia avanzata sono la nostra prima - e forse unica - linea di difesa.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link malevoli.
  • Deepfake: Un deepfake è un contenuto multimediale generato dall’IA che imita l’aspetto o la voce di persone reali, spesso usato per ingannare creando video o audio falsi ma convincenti.
  • Endpoint Detection and Response (EDR): L’Endpoint Detection and Response (EDR) è un insieme di strumenti di sicurezza che monitorano i computer per attività sospette, ma possono non rilevare attacchi basati sul browser che non lasciano file.
  • Script AutoIt: Uno script AutoIt automatizza attività sui computer Windows. Sebbene utile per l’IT, può essere sfruttato dagli hacker per controllare sistemi infetti.
  • Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o concedere accessi non autorizzati ai sistemi.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news