Google旗下的Mandiant網路安全部門報告指出,一個與朝鮮有關聯的威脅組織正加劇對加密貨幣和金融科技公司的攻擊。這次行動利用複雜的社交工程手段,包括AI生成的深度偽造和七種新型惡意軟體家族,以入侵系統並竊取數位資產。
據Google Cloud旗下的Mandiant部門報告,與朝鮮有關聯的威脅行為者正在對加密貨幣和金融科技領域發起新一輪複雜攻擊。一個名為UNC1069的組織已被發現使用了七種不同的惡意軟體家族,包括新發現的工具SILENCELIFT、DEEPBREATH和CHROMEPUSH,這些工具專門用於捕獲和竊取受害者的敏感資料。
此次行動標誌著戰術的重大演變,其中包含了人工智慧以增強其有效性。Mandiant報告稱,該組織於2025年11月開始在活躍行動中使用「AI驅動的誘餌」,使其能夠擴大社交工程攻擊的規模。主要目標包括加密貨幣公司、風險投資人以及軟體開發商。
攻擊者的方法依賴於精心設計的社交工程方案。在一個詳細的入侵案例中,操作人員利用一個屬於加密貨幣創始人的被入侵Telegram帳戶與目標建立聯繫。隨後受害者被邀請參加一個Zoom會議,攻擊者在會議中利用深度偽造影片假裝出現音訊問題,以此為攻擊製造藉口。
這種被稱為「ClickFix」的策略,涉及誘騙受害者運行看似用於解決不存在的音訊問題的故障排除命令。根據Mandiant的說法,這些命令包含一個隱藏腳本,它會啟動惡意軟體感染鏈,從而授予攻擊者存取主機系統及其資料的權限。
這些近期活動是朝鮮國家支持組織長期網路犯罪模式的一部分。這些行為者對數位資產行業構成了持續且代價高昂的威脅。臭名昭著的Lazarus Group,另一個與朝鮮有聯繫的實體,此前曾被關聯到Bybit交易所的14億美元竊盜案,這是根據記錄最大規模的加密貨幣竊盜案之一。
其他有記錄的事件也證實了這種威脅的嚴重性。2025年6月,四名滲透到多家加密新創公司擔任自由開發人員的朝鮮操作人員被發現累積從這些公司竊取了90萬美元。這些事件突顯了這些組織對Web3生態系統安全和穩定構成的一貫且不斷演變的危險。