谷歌旗下的Mandiant网络安全部门报告称,一个与朝鲜有关联的威胁组织正在升级对加密货币和金融科技公司的攻击。此次行动利用复杂的社会工程手段,包括AI生成的深度伪造和七种新型恶意软件家族,以入侵系统并窃取数字资产。
据谷歌云旗下的Mandiant部门报告,与朝鲜有关联的威胁行为者正在对加密货币和金融科技领域发起新一轮复杂攻击。一个名为UNC1069的组织已被发现使用了七种不同的恶意软件家族,包括新发现的工具SILENCELIFT、DEEPBREATH和CHROMEPUSH,这些工具专门用于捕获和窃取受害者的敏感数据。
此次行动标志着战术的重大演变,其中包含了人工智能以增强其有效性。Mandiant报告称,该组织于2025年11月开始在活跃行动中使用“AI驱动的诱饵”,使其能够扩大社会工程攻击的规模。主要目标包括加密货币公司、风险投资人以及软件开发商。
攻击者的方法依赖于精心设计的社会工程方案。在一个详细的入侵案例中,操作人员利用一个属于加密货币创始人的被入侵Telegram账户与目标建立联系。随后受害者被邀请参加一个Zoom会议,攻击者在会议中利用深度伪造视频假装出现音频问题,以此为攻击制造借口。
这种被称为“ClickFix”的策略,涉及诱骗受害者运行看似用于解决不存在的音频问题的故障排除命令。根据Mandiant的说法,这些命令包含一个隐藏脚本,它会启动恶意软件感染链,从而授予攻击者访问主机系统及其数据的权限。
这些近期活动是朝鲜国家支持组织长期网络犯罪模式的一部分。这些行为者对数字资产行业构成了持续且代价高昂的威胁。臭名昭著的Lazarus Group,另一个与朝鲜有联系的实体,此前曾被关联到Bybit交易所的14亿美元盗窃案,这是有记录以来最大规模的加密货币盗窃案之一。
其他有记录的事件也证实了这种威胁的严重性。2025年6月,四名渗透到多家加密初创公司担任自由开发人员的朝鲜操作人员被发现累计从这些公司窃取了90万美元。这些事件突显了这些组织对Web3生态系统安全和稳定构成的一贯且不断演变的危险。