与朝鲜有关的威胁行为体正在加剧针对加密货币及金融科技公司的社会工程攻击,部署新型恶意软件,以窃取敏感数据和数字资产。
据美国网络安全公司Mandiant(隶属于Google Cloud)周二发布的报告,近期一场攻击行动中,一个被追踪为UNC1069的威胁团伙部署了七种恶意软件家族,旨在捕获并外泄受害者数据。
此次行动依赖社会工程手段,包括被攻陷的Telegram账户,以及使用人工智能工具生成的深度伪造视频的虚假Zoom会议。
报告指出:“本次调查揭示了一起针对性的入侵,导致七种独特恶意软件家族被投放,其中包括专为捕获主机和受害者数据而设计的新工具:SILENCELIFT、DEEPBREATH和CHROMEPUSH。”
Mandiant表示,这一活动表明该集团正在扩大作业规模,主要攻击加密货币公司、软件开发商和风险投资机构。
涉案恶意软件包含了两种新发现的高度复杂数据挖掘病毒,分别命名为CHROMEPUSH和DEEPBREATH,旨在绕过关键操作系统组件并获取个人数据。
Mandiant自2018年以来一直追踪该与朝鲜“疑似”有关的威胁行为体,但2025年11月,人工智能的进步首次帮助该不法分子扩大行动规模,并在活跃行动中引入了“AI驱动的诱饵”,据当时Google威胁情报组报告称。
Cointelegraph就归属情况向Mandiant寻求了更多细节,但截至发稿时尚未收到回复。
攻击者盗取加密货币创始人账户发起ClickFix攻击
Mandiant披露的一起入侵案件中,攻击者利用一位加密货币创始人的被攻陷Telegram账户主动联系受害者。受害者被邀请参加一场Zoom会议,里面包含伪造的视频画面,攻击者声称遇到音频问题。
之后,攻击者引导受害者在系统中执行疑似解决音频问题的排查命令,这实际上是一种被称为ClickFix攻击的骗局。
据Mandiant称,所提供的排查命令中嵌入了一个隐藏命令,启动了感染链条。
与朝鲜相关的非法行为体一直是加密资产投资者及Web3原生企业持续的威胁。
据Cointelegraph报道,2025年6月,四名朝鲜行动人员以自由职业开发者身份渗透多个加密公司,累计窃取了90万美元。
同年早些时候,Lazarus集团被牵涉到Bybit 14亿美元盗窃案,这是有史以来最大规模的加密货币盗窃事件之一。
