Hackers chineses, sob o codinome GoldFactory, foram identificados como responsáveis pelo desenvolvimento de trojans bancários altamente sofisticados, incluindo um malware para iOS anteriormente não documentado chamado GoldPickaxe. Este malware é capaz de coletar documentos de identidade, dados de reconhecimento facial e interceptar SMS.
O GoldPickaxe está disponível tanto para plataformas iOS quanto Android, e acredita-se que o GoldFactory seja um grupo de cibercrime chinês bem organizado com conexões próximas ao Gigabud. Ativo desde meados de 2023, o GoldFactory também é responsável por outro malware bancário baseado em Android chamado GoldDigger e sua variante aprimorada GoldDiggerPlus, além de GoldKefu, um trojan embutido dentro do GoldDiggerPlus.
Campanhas de engenharia social distribuindo o malware têm como alvo a região da Ásia-Pacífico, especificamente Tailândia e Vietnã, disfarçando-se como bancos locais e organizações governamentais. O GoldPickaxe para iOS emprega um esquema de distribuição diferente, com iterações sucessivas aproveitando a plataforma TestFlight da Apple e URLs armadilhados que solicitam aos usuários que baixem um perfil de Gerenciamento de Dispositivos Móveis (MDM) para conceder controle total sobre os dispositivos iOS e instalar o aplicativo malicioso.
A sofisticação do GoldPickaxe também é evidente no fato de que ele é projetado para contornar medidas de segurança impostas pela Tailândia, que exigem que os usuários confirmem transações maiores usando reconhecimento facial para prevenir fraudes. O malware solicita à vítima que grave um vídeo como método de confirmação no aplicativo falso, e o vídeo gravado é então usado como material bruto para a criação de vídeos deepfake facilitados por serviços de inteligência artificial de troca de rostos.
Além disso, as variantes Android e iOS do malware estão equipadas para coletar documentos de identidade e fotos da vítima, interceptar mensagens SMS recebidas e encaminhar o tráfego através do dispositivo comprometido. Suspeita-se que os atores do GoldFactory usem seus próprios dispositivos para fazer login no aplicativo bancário e realizar transferências de fundos não autorizadas.