Un grupo de hackers norcoreanos patrocinados por el Estado habría utilizado ChatGPT para crear un deepfake de una tarjeta de identificación militar de Corea del Sur y lanzar un ataque de phishing, según revelaron investigadores de ciberseguridad.
La firma surcoreana Genians explicó que los atacantes fabricaron un borrador falso de una credencial militar con apariencia realista, cuyo objetivo era dar credibilidad a un correo malicioso. En lugar de contener una imagen oficial, el mensaje incluía un enlace a un malware capaz de robar datos de los dispositivos de las víctimas. El ataque se atribuye al grupo Kimsuky, una unidad de ciberespionaje vinculada al régimen de Pyongyang y señalada por Estados Unidos en 2020 como parte de su maquinaria de inteligencia global.
La nueva arma de Pyongyang: inteligencia artificial en ciberataques
El hallazgo de Genians, realizado en julio, confirma una preocupante tendencia: los hackers norcoreanos ya están usando IA como parte de sus operaciones de espionaje. En agosto, la empresa Anthropic reveló que miembros de este mismo ecosistema habían utilizado Claude Code para crear identidades falsas, aprobar pruebas técnicas y conseguir empleo remoto en compañías tecnológicas de EE. UU., logrando infiltrarse en entornos críticos bajo la apariencia de ingenieros legítimos.
No es la primera vez que Pyongyang recurre a estas tácticas. En febrero, OpenAI informó que había bloqueado cuentas vinculadas a Corea del Norte que usaban ChatGPT para redactar currículums, cartas de presentación y publicaciones falsas en redes sociales con fines de reclutamiento.
Según Mun Chong-hyun, director de Genians, el uso de IA por parte de los atacantes no se limita a crear documentos falsos: también se emplea en la planificación de escenarios de ataque, desarrollo de malware, construcción de herramientas y suplantación de reclutadores laborales.
En este último caso, los objetivos fueron periodistas, investigadores y activistas de derechos humanos especializados en Corea del Norte. El ataque se envió desde una dirección que imitaba a la oficial del ejército surcoreano, terminada en .mli.kr.
Aunque no está claro cuántas víctimas fueron comprometidas, lo cierto es que el uso de inteligencia artificial está elevando el nivel de sofisticación de los ciberataques norcoreanos, reforzando su estrategia de espionaje, robo de criptomonedas y obtención de fondos para financiar programas nucleares, desafiando así las sanciones internacionales.