Google 的安全團隊 Mandiant 警告稱,朝鮮黑客正將人工智慧生成的深偽影片融入假視頻會議中,作為對加密貨幣公司日益精密攻擊的一部分,根據週一發布的報告指出。 Mandiant 表示,近期調查了一家金融科技公司遭入侵事件,並將此事件歸因於 UNC1069,或稱「CryptoCore」,一個與朝鮮高度相關的威脅行動者。攻擊使用了被入侵的 Telegram 帳號、一個偽造的 Zoom 會議,以及所謂的 ClickFix 技術,誘使受害者執行惡意指令。調查人員還發現,AI 生成的影片被用來在假會議中欺騙目標。
朝鮮行動者 UNC1069 正利用 AI 社會工程、深偽技術及七個新型惡意軟體家族,針對加密貨幣產業。
詳細了解他們的 TTPs 和工具,以及用於偵測和追蹤活動的 IOC,請參閱我們的貼文 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F
— Mandiant(Google Cloud 旗下) (@Mandiant) 2026 年 2 月 9 日
「Mandiant 觀察到 UNC1069 使用這些技術來攻擊加密貨幣產業中的企業和個人,包括軟體公司及其開發者,以及風險投資公司及其員工或高層,」報告指出。 朝鮮的加密貨幣盜竊行動 此警告正值朝鮮的加密貨幣盜竊行動持續擴大規模。12 月中旬,區塊鏈分析公司 Chainalysis 表示,2025 年朝鮮黑客竊取了價值 20.2 億美元的加密貨幣,比前一年增加 51%。由 DPRK 相關行動者竊取的總金額約為 67.5 億美元,儘管攻擊次數有所下降。 這些發現突顯出國家相關網路犯罪分子運作方式的轉變。CryptoCore 和類似團體不再依賴大規模釣魚攻擊,而是專注於高度定制化的攻擊,利用對日常數位互動(如行事曆邀請和視訊通話)的信任來進行攻擊。這樣一來,朝鮮能以較少、更具針對性的事件實現更大規模的盜竊。
根據 Mandiant 的說法,攻擊始於受害者在 Telegram 上被一個看似已被入侵的知名加密貨幣高管聯繫。建立關係後,攻擊者發送一個 Calendly 連結,安排一個 30 分鐘的會議,並將受害者引導至該團體自設的假 Zoom 會議。在會議中,受害者報告看到一個似乎是知名加密貨幣 CEO 的深偽影片。
會議開始後,攻擊者聲稱有音訊問題,並指示受害者執行「故障排除」命令,這是一種 ClickFix 技術,最終觸發了惡意軟體感染。事後取證分析在受害者系統中辨識出七個不同的惡意軟體家族,似乎是為了竊取憑證、瀏覽器資料和會話令牌,以進行財務盜竊和未來的冒充。
深偽冒充 去中心化身份公司 cheqd 的共同創辦人兼 CEO Fraser Edwards 表示,這次攻擊反映出他反覆看到的模式,針對依賴遠端會議和快速協調的人群。「這種方法的有效性來自於看起來不會異常的程度,」Edwards 說。 「發件人很熟悉,會議格式也很常見,沒有惡意軟體附件或明顯的漏洞。信任在任何技術防禦介入之前就已被利用。」 Edwards 表示,深偽影片通常在升級點出現,例如直播通話中,看到熟悉的臉孔可以壓過對突發請求或技術問題的疑慮。「看到似乎是真人的畫面,往往就足以壓過突如其來的請求或技術問題所產生的疑慮。目標不是長時間互動,而是提供足夠的逼真感,讓受害者進入下一步,」他說。 他補充說,AI 現在也被用來支援冒充,超越直播通話範圍。「它用來草擬訊息、調整語氣,並模仿某人平常與同事或朋友的溝通方式。這使得例行訊息更難被質疑,也降低了收件人花時間驗證互動的可能性,」他解釋。 Edwards 警告,隨著 AI 代理進入日常溝通與決策,風險將增加。「代理可以以機器速度傳送訊息、安排通話,並代表用戶行動。如果這些系統被濫用或遭入侵,深偽音訊或影片可以自動部署,將冒充從手動操作轉變為可擴展的流程,」他說。 他指出,大多數用戶難以辨識深偽,認為「不切實際」。「答案不是要求用戶更仔細地注意,而是建立能自動保護他們的系統。這意味著改善真假訊號的標示與驗證方式,讓用戶能快速判斷內容是真實、合成或未經驗證,而不必依賴直覺、熟悉度或人工調查,」他說。
