朝鲜黑客组织部署恶意软件专攻加密与金融科技公司 | 加密百科深度分析
加密百科独家解读
这件事简单来说,就是一群技术高超的“数字窃贼”升级了他们的骗术,现在专门盯着加密货币和金融科技公司偷钱偷数据。他们不再是简单地发个钓鱼邮件,而是玩起了“高科技剧本杀”。
1. 骗术升级:从“假邮件”到“假视频会议”
以前黑客可能伪造一封邮件让你点链接。现在,他们能利用AI生成一个以假乱真的“深度伪造”视频,冒充你认识的公司高管或合作伙伴,邀请你开Zoom会议。在会议中取得信任后,再诱导你进行“安全操作”。他们还专门入侵加密货币项目创始人的Telegram账号,用你信任的“真人”身份来接触你,欺骗性极强。
2. 攻击目标非常明确:就是钱和权
他们部署的恶意软件,目的很直接:
偷资产:直接盗取你钱包或交易所里的加密货币。
偷数据:窃取公司核心代码、用户数据库或财务信息,这些数据本身就很值钱,也能用来策划更大规模的攻击。
偷控制权:通过让你运行所谓的“故障排除指令”(ClickFix攻击),实际上是在你的电脑上偷偷开后门,让他们能长期潜伏,随时偷取信息。
3. 为什么现在更危险了?AI成了“骗术加速器”
这个黑客组织(UNC1069)其实从2018年就被盯上了,但最近他们活动大增。关键变化在于,AI工具的普及极大地降低了制作高欺骗性诱饵的成本和门槛。生成逼真的假视频、假声音、编写更合理的对话脚本都变得更容易,这让针对特定人物的“定制化诈骗”规模得以扩大。
4. 给新手和从业者的直接提醒
多重验证是生命线:对于任何涉及资产转移、权限变更的指令,无论来自Telegram、邮件还是视频会议,都必须通过另一个独立且可靠的渠道(如官方注册电话、线下见面)进行二次确认。看到真人视频也不能全信。
警惕“特别帮助”:当有人,尤其是看似来帮你解决技术问题的人,要求你运行任何命令行、脚本或下载特殊工具时,必须高度警惕。这很可能是植入恶意软件的陷阱。
行业特性招致风险:加密货币和金融科技领域资产流动快、匿名性强,一旦得手难以追回,因此一直是黑客眼中的“高价值目标”。在这个行业,安全意识不是加分项,是生存必备技能。
这次事件标志着针对加密行业的攻击进入了“AI驱动社交工程”的新阶段。攻击者不再只寻找技术漏洞,而是更专注于利用人性弱点,结合高科技手段布下陷阱。在比特币减半和以太坊坎昆升级这些重大技术节点已成为过去的今天,行业面临的安全挑战已经从底层协议,更多地转向了保护每一个使用者和从业者。
背景资料 (原快讯)
隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。
该威胁组织(代号 UNC1069)部署了七个恶意软件集合,包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH,旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。
自 2018 年以来,Mandiant 一直追踪该组织,但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中,攻击者使用被盗的加密货币创始人 Telegram 账户发起联系,通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的“故障排除”指令。(Cointelegraph)
注:以上背景资料自公开行业资讯,加密百科网仅作科普解读。