في تحذير صارخ لقطاع التكنولوجيا المالية العالمي، كشفت شركة الأمن السيبراني التابعة لـ Google، Mandiant، عن تصعيد متطور في هجمات العملات المشفرة من كوريا الشمالية، حيث أوضحت أن القراصنة المدعومين من الدولة باتوا يستخدمون تقنيات الذكاء الاصطناعي لإنشاء مقاطع فيديو مزيفة عميقة (deepfakes) واجتماعات فيديو وهمية لاختراق شركات العملات المشفرة. هذا التطور المقلق، الذي تم الإبلاغ عنه في أوائل عام 2025، يشير إلى جبهة جديدة وخطيرة في مجال التجسس الرقمي والجريمة المالية. ونتيجة لذلك، يواجه النظام البيئي للعملات المشفرة بأكمله تهديدات غير مسبوقة من هذه الحملات التصيدية المتقدمة تكنولوجياً.
تطور هجمات العملات المشفرة الكورية الشمالية مع تكنولوجيا الذكاء الاصطناعي
يستعرض أحدث تقرير استخباراتي صادر عن Mandiant تحوّلاً تكتيكياً كبيراً من قبل مجموعات القرصنة الكورية الشمالية، لا سيما مجموعة Lazarus وKimsuky. تاريخياً، اعتمد هؤلاء الفاعلون على البرمجيات الضارة التقليدية والهندسة الاجتماعية. ومع ذلك، أصبحت عملياتهم الآن تدمج الذكاء الاصطناعي لإنشاء مقاطع فيديو وصوت عميقة مزيفة عالية الإقناع. تحاكي هذه المقاطع المزيفة التنفيذيين والمطورين ورأس المال المغامر خلال اجتماعات Zoom وMicrosoft Teams المفبركة. الهدف الأساسي لا يزال السرقة المالية، لتمويل برامج الأسلحة للنظام والتحايل على العقوبات الدولية. لذلك، يجب على مجتمع الأمن السيبراني أن يكيّف استراتيجياته الدفاعية فوراً.
يؤكد التقرير، الذي حلل الحوادث الأخيرة ضد شركات التكنولوجيا المالية، أن الاستهداف شامل. يركز المهاجمون على سلسلة التوريد الكاملة للعملات المشفرة. ويشمل هذا النطاق الواسع:
- شركات تطوير البرمجيات التي تنشئ المحافظ ومنصات التداول.
- مطورو البلوكشين الذين يعملون على طبقات البروتوكول الأساسية.
- شركات رأس المال المغامر التي تستثمر في الشركات الناشئة للأصول الرقمية.
- الموظفون والتنفيذيون في المستويات العليا في جميع هذه المنظمات.
آليات التصيد بالذكاء الاصطناعي المزيف في العملات المشفرة
عادة ما تبدأ سلسلة الهجمات باستطلاع دقيق. يجمع القراصنة بيانات متاحة للعامة من LinkedIn ومقاطع الفيديو من المؤتمرات والمواقع الإلكترونية للشركات. بعد ذلك، يستخدمون أدوات استنساخ الصوت وتوليف الفيديو بالذكاء الاصطناعي لإنشاء نسخ رقمية للأفراد المستهدفين. قد يتلقى موظف بعد ذلك دعوة تقويم لاجتماع فيديو يبدو شرعياً، مع زميل أو شريك معروف على ما يبدو. أثناء الاجتماع، يقدم شخصية مزيفة عميقة تعليمات عاجلة، مثل الموافقة على معاملة احتيالية أو مشاركة مفاتيح API الحساسة. التأثير النفسي لرؤية وسماع جهة اتصال موثوقة يجعل هذه المخططات فعّالة للغاية.
تحليل الخبراء حول تصاعد مشهد التهديدات
يؤكد خبراء الأمن السيبراني أن هذا التطور يمثل تطوراً طبيعياً للجهات المدعومة بموارد الدولة. "لطالما كانت وحدات القرصنة الكورية الشمالية من أوائل المتبنين لأساليب الهجوم الجديدة"، كما يشير محلل سابق في وكالة الأمن القومي متخصص في التهديدات السيبرانية. "كان انتقالهم إلى الهندسة الاجتماعية المدفوعة بالذكاء الاصطناعي أمراً حتمياً. لقد انخفض الحاجز أمام إنشاء مقاطع deepfakes مقنعة بشكل كبير، بينما لا يزال العائد المحتمل - الوصول المباشر إلى احتياطيات العملات المشفرة - مرتفعاً للغاية." يؤكد تقرير Mandiant ذلك، حيث تتبع الأموال المسروقة إلى خدمات غسيل الأموال عبر البلوكشين المعقدة، وغالباً ما تختلط بعائدات هجمات الفدية.
يُظهر الجدول الزمني لهذه الهجمات تسارعاً واضحاً. ظهرت التجارب الأولى مع التصيد المدعوم بالذكاء الاصطناعي في أواخر عام 2023. وبحلول منتصف 2024، استهدفت عدة محاولات فاشلة مدراء من المستوى المتوسط. أما حملات الفيديو المزيفة الكاملة، كما وثقتها Mandiant، فقد أصبحت فعّالة في الربع الأول من عام 2025. يبرز هذا التطور السريع الطبيعة المرنة والمتكيفة للجهات المهاجمة. للمقارنة، يوضح الجدول أدناه تطور تكتيكاتهم:
| قبل 2023 | رسائل بريد إلكتروني محملة بالبرمجيات الضارة، عروض عمل وهمية | موظفو منصات التداول | متوسط |
| 2023-2024 | تصيد صوتي مولد بالذكاء الاصطناعي (vishing) | موظفو قسم المالية | متزايد |
| 2025 | مؤتمرات فيديو مزيفة عميقة متعددة الأشخاص | تنفيذيون من المستوى الأعلى & المطورون | مرتفع (وفقاً لـ Mandiant) |
تأثيرات أوسع على الأمن المالي والتقني للعملات المشفرة
تمتد تداعيات هذه الهجمات الكورية الشمالية على العملات المشفرة إلى ما هو أبعد من الخسارة المالية الفورية. فهي تقوض الثقة الأساسية المطلوبة للتعاون الرقمي داخل صناعة التكنولوجيا المالية. يجب على الشركات الآن التحقق من كل تفاعل افتراضي، مما قد يؤدي إلى إبطاء الابتكار وتشكيل الشراكات. علاوة على ذلك، من المرجح أن تستجيب الهيئات التنظيمية بفرض متطلبات أمان أكثر صرامة على أمناء ومزودي خدمات العملات المشفرة. قد يؤدي ذلك إلى زيادة التكاليف التشغيلية وأعباء الامتثال عبر القطاع. كما أن مزودي التأمين للأصول الرقمية يعيدون حالياً تقييم الأقساط وشروط التغطية في ضوء تهديد deepfake.
يسلط تحذير Mandiant أيضاً الضوء على نقطة ضعف حرجة في بيئات العمل عن بُعد والهجينة. فقد أصبحت مؤتمرات الفيديو أداة أعمال أساسية بعد الجائحة. يستغل المهاجمون هذا التحول الثقافي. يجب أن تشمل التدابير الدفاعية الآن ضوابط تقنية وبروتوكولات تحقق بشرية صارمة. على سبيل المثال، تقوم الشركات بتطبيق أنظمة كلمات سرية للمعاملات عالية القيمة، وفرض التأكيد الثانوي عبر قناة اتصال منفصلة ومعروفة مسبقاً. وسيحدد رد القطاع مدى مرونته خلال العقد المقبل.
استراتيجيات دفاعية استباقية ضد تهديدات الذكاء الاصطناعي
مكافحة هذا التهديد تتطلب نهج أمني متعدد الطبقات. الحلول التقنية وحدها غير كافية. توصي فرق الأمن بمزيج من الكشف المتقدم وتثقيف الموظفين. تشمل الاستراتيجيات الدفاعية الرئيسية نشر أدوات مدعومة بالذكاء الاصطناعي مصممة لاكتشاف deepfakes من خلال تحليل البصمات الرقمية في ملفات الفيديو والصوت. بالإضافة إلى ذلك، تساهم التدريبات المنتظمة لمحاكاة التصيد الواقعي، والتي تشمل سيناريوهات deepfake، في تدريب الموظفين على التعرف على التلاعب. كما أن وضع سياسات حوكمة مالية صارمة، مثل اشتراط موافقات مستقلة متعددة لأي عملية تحويل أصول، يضيف حاجزاً إجرائياً بالغ الأهمية. وأخيراً، يساعد تبادل معلومات التهديدات عبر صناعة العملات المشفرة من خلال ISACs (مراكز مشاركة وتحليل المعلومات) المنظمات على مواكبة التكتيكات الناشئة.
الخلاصة
يعد تقرير Mandiant حول هجمات العملات المشفرة الكورية الشمالية باستخدام deepfakes الذكاء الاصطناعي بمثابة جرس إنذار حاسم لمجتمع العملات المشفرة والتكنولوجيا المالية العالمي. إن دمج الذكاء الاصطناعي المتقدم مع الهندسة الاجتماعية التقليدية يخلق تهديداً قوياً وقابلاً للتوسع. تستهدف هذه الحملة بنية القطاع التحتية بالكامل، من مطوري البرمجيات إلى شركات رأس المال المغامر. في نهاية المطاف، يتطلب الحفاظ على أمان النظام البيئي يقظة مستمرة، واستثماراً في تقنيات مضادة للذكاء الاصطناعي، وتحولاً أساسياً في كيفية التحقق من الثقة الرقمية. من المرجح أن تُذكر أحداث أوائل 2025 كلحظة دخلت فيها معركة الأمن السيبراني مرحلة جديدة وأكثر تحدياً.
الأسئلة الشائعة
س1: ما هو الهدف الرئيسي من هذه الهجمات الكورية الشمالية باستخدام deepfake؟
الهدف الأساسي هو السرقة المالية. يسعى القراصنة المدعومون من الدولة إلى سرقة العملات المشفرة لتمويل أنشطة النظام الكوري الشمالي وتجاوز العقوبات الاقتصادية الدولية، وتحويل الأصول الرقمية إلى عملة أجنبية قابلة للاستخدام.
س2: كيف يمكن للشركة التحقق مما إذا كانت مكالمة الفيديو شرعية؟
تطبيق بروتوكولات تحقق مثل استخدام عبارة سرية مشتركة مسبقاً في بداية الاجتماع، وتأكيد التفاصيل عبر قناة اتصال منفصلة ومعروفة (مثل محادثة Signal أو Slack موثوقة)، والارتياب من أي طلبات عاجلة للأموال أو بيانات الاعتماد أثناء المكالمات غير المجدولة.
س3: هل فقط بورصات العملات المشفرة الكبيرة معرضة للخطر؟
لا. يؤكد تقرير Mandiant أن الاستهداف يشمل جميع أنحاء الصناعة. يشمل ذلك الشركات الناشئة الصغيرة في البرمجيات، المطورين الأفراد للبلوكشين، شركات رأس المال المغامر، والبورصات الكبيرة. أي كيان مرتبط بقيمة العملات المشفرة هو هدف محتمل.
س4: ما الذي يجعل التصيد بالdeepfake الذكاء الاصطناعي فعالاً للغاية؟
يستغل الثقة الاجتماعية العالية واعتماد الدماغ البشري على الإشارات البصرية والسمعية. رؤية وسماع شخص يبدو حقيقياً، خاصة إذا كان زميلاً معروفاً، يقلل بشكل كبير من الشكوك الحرجة ويتجاوز العديد من دفاعات التصيد التقليدية عبر البريد الإلكتروني.
س5: ماذا يجب أن يفعل الموظف إذا اشتبه بأنه مستهدف؟
يجب عليه الانفصال فوراً عن المكالمة دون الاستجابة لأي طلبات، إبلاغ فريق الأمن الداخلي بالحادثة، والحفاظ على جميع الأدلة (روابط الاجتماعات، أسماء المشاركين). بعد ذلك، يجب أن يبدأ فريق الأمن خطة الاستجابة للحوادث الخاصة بهم، وربما إشراك شركاء مشاركة التهديدات في القطاع.
