Un allarme che arriva dalla Corea del Sud

La guerra cibernetica non si combatte più soltanto a colpo di codici complessi e intrusioni silenziose, ma sempre più spesso attraverso gli strumenti della vita quotidiana. È quanto emerge dal nuovo rapporto della società di sicurezza sudcoreana Genians, che ha reso pubblica la vicenda inquietante del gruppo di hacker nordcoreani, Kimsuky, che avrebbe sfruttato l’intelligenza artificiale per produrre un documento d’identità militare contraffatto e utilizzato in un’operazione di phishing contro obiettivi in Corea del Sud. 

L'utilizzo di ChatGPT per falsificare un documento

Al centro della vicenda c’è ChatGPT, il modello linguistico più diffuso al mondo. Secondo Genians, i cybercriminali sarebbero riusciti ad aggirare i meccanismi di sicurezza integrati nel sistema e a ottenere la creazione di un documento d’identità dall’aspetto credibile. L’immagine, che imitava le carte rilasciate dall’esercito sudcoreano, è stata allegata a una mail dall’apparenza ufficiale e spedita da un dominio molto simile a quello utilizzato dalle istituzioni militari. Lo stratagemma, semplice ed efficace, mirava a convincere i destinatari ad aprire allegati o link infetti, dietro i quali si nascondeva un malware capace di sottrarre dati sensibili e aprire la strada a future intrusioni. Gli analisti spiegano che con l’IA non solo è stata creata la parte grafica del deepfake, ma anche la scrittura di testi convincenti, cosa che pare abbia ridotto gli indizi che di solito tradiscono i tentativi di truffa.

Il profilo del gruppo Kimsuky

Il nome Kimsuky non è nuovo agli esperti di intelligence. Questo collettivo di hacker è da anni attivo in operazioni di spionaggio rivolte soprattutto a giornalisti, ricercatori e attivisti che si occupano della Corea del Nord. Nel caso emerso a luglio, gli obiettivi erano organizzazioni sudcoreane, alcune delle quali legate direttamente alla difesa. L’attacco, come ricorda Bloomberg, non mirava soltanto a raccogliere informazioni ma anche a distribuire software malevoli in grado di garantire accessi privilegiati e persistenti ai sistemi compromessi. La novità, sottolineata anche da Business Insider e Anadolu Agency, sta proprio nell’impiego di immagini generate dall’intelligenza artificiale, che rendono l’intera operazione più sofisticata e difficile da individuare.

Il rapporto di Genians e i dettagli tecnici

La fonte principale resta comunque il documento di Genians, che entra nel dettaglio delle modalità con cui il malware è stato confezionato. Gli esperti hanno rilevato l’uso di script batch e AutoIt, soluzioni pensate per aggirare i tradizionali antivirus e passare inosservati. La società ha raccomandato l’adozione di sistemi di Endpoint Detection & Response (EDR), strumenti capaci di individuare comportamenti anomali e reagire in tempo reale agli attacchi. Le principali testate sudcoreane, tra cui Korea Times e Yonhap, hanno ripreso i risultati dell’indagine, confermando la portata dell’allarme. Il quadro che emerge è quello di una minaccia concreta, già in atto, che utilizza la tecnologia generativa come leva per ampliare le possibilità di inganno.

Un segnale che riguarda tutti

La vicenda, pur essendo partita da un contesto specifico, secondo gli esperti non può essere considerata un episodio isolato. La facilità con cui un documento dall’apparenza autentica può essere creato e distribuito, solleva interrogativi globali sulla tenuta dei sistemi di autenticazione e sul futuro della sicurezza informatica. Non si tratta più soltanto di email scritte in modo maldestro o di siti web pieni di errori perchè i nuovi attacchi sono credibili, curati nei dettagli e progettati per ingannare anche gli utenti più attenti. Il rapporto Genians non rappresenta soltanto una cronaca tecnica, ma un campanello d’allarme per governi, aziende e cittadini. 

L’era dei deepfake applicati alla cybercriminalità non è più un’ipotesi futuristica, ma una realtà del presente.