Um grupo de hackers norte-coreanos, considerado mediano em habilidades técnicas, tem utilizado ferramentas de inteligência artificial (IA) para aprimorar suas operações cibernéticas e roubar até US$ 12 milhões em criptomoedas em apenas três meses. A descoberta foi feita pela empresa de segurança Expel, que revelou o funcionamento dessa campanha e o papel fundamental da IA em cada etapa do ataque.
\n\n
O que é o grupo HexagonalRodent e como a IA foi usada
\n
O grupo, identificado como HexagonalRodent e apoiado pelo Estado norte-coreano, realizou ataques direcionados a desenvolvedores de pequenas startups de criptomoedas, projetos de NFTs e iniciativas Web3. A estratégia envolvia a criação de sites falsos para empresas fictícias, usados em esquemas de phishing, e o envio de ofertas de emprego fraudulentas para as vítimas.
\n
\n
Ao receber a proposta, o alvo era instruído a baixar e executar um teste de codificação infectado com malware, que roubava credenciais e, em alguns casos, acessava chaves de carteiras digitais.
\n
Segundo Marcus Hutchins, pesquisador de segurança que identificou o grupo, a inteligência artificial foi utilizada para “vibe code” — expressão que descreve o uso de IA para gerar o código malicioso, criar sites falsos e construir toda a infraestrutura da campanha. Ferramentas comerciais de IA dos EUA como OpenAI, Cursor e Anima foram empregadas para esses fins.
\n\n
Características do malware e evidências de criação por IA
\n
Uma análise do malware revelou que o código estava repleto de comentários em inglês e emojis, algo incomum para programadores norte-coreanos, mas típico de códigos gerados por grandes modelos de linguagem. Esses detalhes ajudaram a identificar o uso de IA na elaboração do software malicioso.
\n
Apesar da simplicidade do grupo, os ataques foram eficazes porque muitos alvos não possuíam ferramentas tradicionais de segurança, como sistemas de detecção e resposta em endpoints (EDR), que poderiam identificar o malware.
\n\n
Impacto prático e a escalada do uso de IA no cibercrime norte-coreano
\n
O uso da IA permitiu que hackers com pouca habilidade técnica realizassem ataques complexos e lucrativos, ampliando a capacidade operacional do grupo. Estima-se que até 31 indivíduos participaram da campanha HexagonalRodent, beneficiados pela automação e rapidez proporcionadas pelas ferramentas de IA.
\n
Além disso, o governo norte-coreano tem incentivado o uso da IA para fins cibernéticos, inclusive com a criação do Research Center 227, focado no desenvolvimento de ferramentas de hacking baseadas em IA.
\n
Pesquisadores apontam que a IA tem sido usada para diversas funções, como criação de identidades falsas, aprimoramento do inglês para engenharia social, geração de exploits, desenvolvimento de websites falsos e até mesmo deepfakes para entrevistas fraudulentas.
\n\n
Resposta das empresas de IA e desafios para a cibersegurança
\n
Empresas como OpenAI, Cursor e Anima já bloquearam o acesso dos hackers às suas plataformas e colaboram com investigações para impedir o uso malicioso dessas tecnologias. OpenAI afirmou que suas ferramentas não concedem “capacidades inéditas”, mas reconhece que aceleram e ampliam a escala dos ataques.
\n
Especialistas em segurança alertam que o foco deve estar em enfrentar as ameaças reais e atuais facilitadas pela IA, em vez de se preocupar exclusivamente com cenários futurísticos de ataques automáticos avançados.
\n\n
O que isso significa para empresas e usuários
\n
O caso HexagonalRodent evidencia a necessidade urgente de adoção de medidas robustas de segurança cibernética, especialmente para organizações que lidam com criptomoedas e projetos digitais emergentes. Ferramentas tradicionais de proteção, conscientização sobre phishing e monitoramento constante são essenciais para mitigar esses riscos.
\n
Além disso, o episódio reforça a importância de acompanhar a evolução das tecnologias de IA e seus usos maliciosos para desenvolver estratégias eficazes de defesa.
\n\n
Links úteis
\n
