Фейковые CEO в Zoom: как дипфейк-кампании Северной Кореи опустошают криптокошельки

Сооснователь Polygon обнаруживает, что незнакомые люди спрашивают его, действительно ли он сейчас находится с ними в Zoom-звонке. Организатор BTC Prague наблюдает, как на экране появляется убедительная, созданная ИИ копия известного крипто-CEO, которая просит запустить «быстрое исправление звука». Основатель ИИ-стартапа избегает заражения, настаивая на использовании Google Meet — и злоумышленники исчезают. Это не сцены из киберпанк-триллера. Это произошло в начале 2026 года, и все эти случаи объединяет общая нить: стремительно развивающаяся машина социальной инженерии Северной Кореи на основе дипфейков.

От эксплойтов протоколов к человеческим эксплойтам

В течение многих лет худшими кошмарами криптоиндустрии были ошибки в смарт-контрактах и уязвимости мостов. Lazarus Group из Северной Кореи и её подгруппы, такие как UNC1069, охотно этим пользовались, совершая громкие кражи, такие как взлом Ronin Network на $620 млн в 2022 году и взлом биржи Bybit на$ 1,5 млрд в феврале 2025 года. Но пока индустрия направляла ресурсы на аудит кода, формальную верификацию и баг-баунти, Пхеньян незаметно сменил тактику.

Этот сдвиг стал очевидным в конце 2025 года. По данным Chainalysis, связанные с Северной Кореей субъекты похитили цифровые активы на сумму $2,02 млрд в течение 2025 года — это на 51$ 1,34 млрд, украденными в 2024 году. На операции КНДР сейчас приходится примерно 76% всех компрометаций криптосервисов в мире, что доводит совокупную нижнюю оценку краж криптовалюты Северной Кореей до более чем $ 6,75 млрд.

Но реальная история — это не только цифры, но и методы. Социальная инженерия, усиленная созданными ИИ дипфейками, стала основным вектором атак, впервые опередив эксплойты смарт-контрактов.

Внутри методики Deepfake Zoom

Подразделение Mandiant компании Google Cloud опубликовало в феврале 2026 года подробный отчет, в котором приписало волну атак с использованием дипфейков в видеозвонках группе UNC1069 — финансово мотивированной угрозе с высокой степенью уверенности связанной с Северной Кореей. Отслеживаемая с 2018 года, UNC1069 переключилась с целевого фишинга и традиционных финансов на индустрию Web3, начиная с 2023 года.

Сценарий атаки следует пугающе эффективной схеме:

• Шаг 1 — Компрометация доверенной личности. Злоумышленники получают доступ к аккаунту Telegram или профилю LinkedIn руководителя криптовалютной компании. В одном задокументированном случае они захватили аккаунт известного крипто-CEO и использовали его для связи с второстепенными целями.

• Шаг 2 — Назначение встречи. Жертва получает кажущееся легитимным приглашение на встречу, часто через Calendly, для 30-минутного видеозвонка. Ссылка, однако, перенаправляет на убедительный домен-двойник Zoom.

• Шаг 3 — Развертывание дипфейка. Когда жертва присоединяется, она видит созданный ИИ видеопоток знакомой в индустрии фигуры — партнера венчурного фонда, коллеги-основателя или CEO портфельной компании. Дипфейк достаточно убедителен, чтобы пройти краткую визуальную проверку.

• Шаг 4 — Запуск заражения ClickFix. Притворяясь, что возникли проблемы со звуком, злоумышленник просит жертву запустить «быстрое исправление» — обычно команду терминала в macOS или скрипт PowerShell в Windows. Это техника ClickFix: метод социальной инженерии, который обманом заставляет жертв заражать собственные машины, полностью обходя традиционные средства безопасности.

Оружие ClickFix: семь семейств вредоносного ПО и это не предел

ClickFix стала одной из самых эффективных техник доставки вредоносного ПО в 2026 году именно потому, что она эксплуатирует доверие, а не технологии. Жертва добровольно выполняет вредоносную команду, полагая, что решает банальную техническую проблему.

Расследование Mandiant показало, что UNC1069 развертывает как минимум семь уникальных семейств вредоносного ПО через этот вектор, включая ранее недокументированные инструменты:

• SILENCELIFT — инструмент для разведки хоста, который собирает системные данные и конфигурации криптовалютных кошельков.
• DEEPBREATH — модуль для обеспечения устойчивого присутствия в системе, предназначенный для сохранения доступа после перезагрузки.
• CHROMEPUSH — полезная нагрузка, нацеленная на браузеры, которая извлекает сохраненные учетные данные и данные крипто-расширений из более чем 25 браузеров.
• BIGMACHO — бэкдор специально для macOS, развертываемый через дипфейк-видеоприманки.

Эти инструменты нацелены на 103 расширения Chrome для криптовалют, включая MetaMask, Exodus и Trust Wallet. Акцент кампании на macOS преднамерен — основатели и разработчики криптовалют непропорционально часто используют оборудование Apple, и почти каждый стилер для macOS в обращении ставит кражу криптокошельков выше всех остальных целей.

Реальные основатели, реальные опасности

Личные истории, стоящие за этими атаками, иллюстрируют как их изощренность, так и уязвимость людей.

Сандип Наилвал, сооснователь Polygon, публично забил тревогу, когда несколько контактов написали ему в Telegram, спрашивая, находится ли он в данный момент с ними в Zoom-звонке. Злоумышленники использовали дипфейк Наилвала для проведения одновременных фальшивых встреч с несколькими целями, используя его репутацию известного в индустрии деятеля.

Мартин Кухарж, сооснователь BTC Prague, стал целью через скомпрометированный аккаунт Telegram и инсценированный видеозвонок, предназначенный для внедрения вредоносного ПО под видом исправления звука в Zoom. Изощренность подготовки — от легитимно выглядящего приглашения в календаре до дипфейк-видео в реальном времени — подчеркнула, насколько далеко продвинулись эти кампании по сравнению с обычными фишинговыми письмами.

Евгений Выборов, CEO Ability AI, показал классический пример того, как избежать ловушки. Когда злоумышленники перенаправили его на фальшивую страницу «помощи» Zoom с командами терминала для выполнения, он прекратил взаимодействие и настоял на переходе в Google Meet. Злоумышленники отказались, сославшись на «политику компании», а затем быстро удалили всю переписку в Telegram — явный признак работы по заранее подготовленному сценарию.

ИИ как меч и щит

Что делает это новое поколение атак особенно тревожным, так это использование инструментов ИИ самими злоумышленниками. Согласно исследованиям Google в области анализа угроз, группа UNC1069 была замечена в использовании ИИ Gemini от Google для разработки инструментов, проведения оперативных исследований потенциальных жертв и создания дипфейк-изображений и видео, используемых в их кампаниях.

Это создает асимметричную гонку вооружений. Стоимость создания убедительного дипфейка резко упала, в то время как стоимость верификации личности в реальном времени остается высокой. Отчет об исследовании Bitget показал, что мошенничество с использованием ИИ для выдачи себя за другое лицо способствовало всплеску криптомошенничества на 4,6 миллиарда долларов в 2025 году, и траектория на 2026 год не показывает признаков замедления.

Последствия выходят за рамки отдельных целей. Когда злоумышленники могут убедительно выдавать себя за венчурных инвесторов, основателей и руководителей, доверие, на котором строятся сделки, голосования по управлению и переговоры о партнерстве, начинает рушиться. Один успешный дипфейк-звонок может поставить под угрозу не только один кошелек, но и доступ к казне всей организации.

Защита от угрозы дипфейков

Реакция криптоиндустрии все еще формируется, но уже намечаются несколько защитных паттернов:

Проверка через второй канал. Самым эффективным методом защиты, продемонстрированным в инцидентах 2026 года, является верификация по стороннему каналу (out-of-band). Перед выполнением любого действия, запрошенного во время видеозвонка, подтвердите личность участника через отдельный канал связи — телефонный звонок, сообщение в Signal или даже заранее оговоренное кодовое слово.

Отказ от требований конкретных платформ. Настойчивость Евгения Выборова в использовании Google Meet оказалась эффективной именно потому, что инфраструктура злоумышленников была специально создана для поддельного Zoom. Любое настаивание на конкретной платформе, особенно в сочетании с оправданиями о «политике компании», следует рассматривать как тревожный сигнал.

Никогда не выполняйте терминальные команды во время звонка. Ни одна легитимная деловая встреча не требует от участников выполнения команд в терминале или установки программного обеспечения. Это правило действует независимо от того, кто отображается на экране. Организациям следует установить четкие политики: участники видеозвонков никогда не запрашивают выполнение команд.

Использование аппаратного подписания транзакций. Аппаратные кошельки, требующие физического подтверждения транзакций, остаются невосприимчивыми к программным взломам, вызванным дипфейками. Настройки мультиподписи добавляют дополнительные уровни, которые нельзя обойти одной лишь социальной инженерией.

Внедрение верификации «Знай своего агента» (Know Your Agent, KYA). Поскольку агенты ИИ все чаще участвуют в криптооперациях, проверка личности и полномочий как людей, так и автоматизированных участников становится критически важной. Новые стандарты KYA направлены на предоставление криптографических доказательств личности участника перед совершением высокоценных действий.

Что дальше

Операции Северной Кореи по краже криптовалют — это не маргинальное преступное предприятие, а спонсируемая государством программа, которая ежегодно приносит миллиарды долларов дохода, финансируя программы вооружения и обходя международные санкции. Переход от эксплойтов протоколов к социальной инженерии с использованием дипфейков представляет собой стратегический расчет: по мере улучшения безопасности смарт-контрактов люди остаются самой уязвимой целью.

Кампании с использованием дипфейков 2026 года выявляют злоумышленников, которые адаптируются быстрее многих защитников. Инструментарий UNC1069 активно развивается с помощью ИИ, их арсенал вредоносного ПО постоянно расширяется, а сценарии социальной инженерии совершенствуются после каждой неудачной попытки. Варианты ClickFix — FileFix, JackFix, ConsentFix, CrashFix, GlitchFix — распространяющиеся по всей экосистеме, свидетельствуют о том, что эффективность этой техники привлекла подражателей и за пределами северокорейских государственных структур.

Для криптоиндустрии урок ясен: следующий взлом на миллиард долларов может не использовать уязвимость в коде Solidity. Он может начаться с дружелюбного лица в Zoom, просящего вас исправить проблемы со звуком.

---

Создание безопасной блокчейн-инфраструктуры начинается с надежных сервисов нод и API корпоративного уровня. BlockEden.xyz предоставляет высокодоступные RPC-эндпоинты для основных сетей — чтобы разработчики могли сосредоточиться на создании отказоустойчивых приложений, не беспокоясь об уязвимостях инфраструктуры.