简要概述
谷歌旗下Mandiant的安全团队警告称,朝鲜黑客正将人工智能生成的深度伪造融入虚假视频会议中,作为对加密公司日益复杂的攻击的一部分,根据周一发布的报告。
Mandiant表示,最近调查了一起金融科技公司的入侵事件,归因于UNC1069,或称“CryptoCore”,这是一个与朝鲜高度相关的威胁行为者。此次攻击使用了被攻破的Telegram账户、伪造的Zoom会议,以及所谓的ClickFix技术,诱使受害者执行恶意命令。调查人员还发现证据显示,AI生成的视频被用来在虚假会议中欺骗目标。
朝鲜行为者UNC1069正利用AI支持的社会工程、深度伪造和7个新型恶意软件家族,针对加密行业。
了解他们的战术、技术和程序(TTPs)以及检测和追踪活动的IOC,详见我们的帖子👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F
— Mandiant(谷歌云旗下)(@Mandiant) 2026年2月9日
“据观察,UNC1069已采用这些技术,针对加密行业中的企业实体和个人,包括软件公司及其开发者,以及风险投资公司及其员工或高管,”报告指出。
朝鲜的加密货币盗窃行动 随着朝鲜的加密货币盗窃规模不断扩大,这一警告尤为重要。12月中旬,区块链分析公司Chainalysis表示,2025年,朝鲜黑客盗取了20.2亿美元的加密货币,比前一年增长了51%。目前,朝鲜相关行为者盗取的总金额约为67.5亿美元,尽管攻击次数有所减少。
这些发现反映出国家相关网络犯罪分子的运作方式正发生更广泛的转变。与依赖大规模钓鱼攻击不同,CryptoCore及类似团体正专注于高度定制的攻击,利用对日常数字互动(如日历邀请和视频通话)的信任,从而实现更大规模的盗窃。
据Mandiant介绍,攻击始于受害者通过Telegram被一名似乎是知名加密货币高管的账户联系,该账户已被攻破。在建立关系后,攻击者发送了一个Calendly链接,安排30分钟的会议,实际上引导受害者进入由该团体基础设施托管的虚假Zoom通话。在通话中,受害者报告看到一段知名加密货币CEO的深度伪造视频。
会议开始后,攻击者声称存在音频问题,指示受害者运行“故障排除”命令,这是一种ClickFix技术,最终触发了恶意软件感染。事后取证分析在受害者系统中识别出七个不同的恶意软件家族,似乎旨在窃取凭证、浏览器数据和会话令牌,以进行财务盗窃和未来的冒充。
深度伪造冒充 去中心化身份公司cheqd的联合创始人兼CEO弗雷泽·爱德华兹表示,这次攻击反映了他反复看到的模式,针对依赖远程会议和快速协调的人员。“这种方法的有效性在于看起来几乎没有异常,”爱德华兹说。
“发件人很熟悉,会议格式也很常规,没有恶意软件附件或明显的漏洞。在技术防御介入之前,信任已被利用。”
他指出,深度伪造视频通常在升级点引入,比如直播通话中,看到熟悉的面孔可以压倒由意外请求或技术问题引发的怀疑。“看到屏幕上的似乎是真人的面孔,往往足以压倒由意外请求或技术问题引发的怀疑。目标不是长时间互动,而是制造足够的真实感,促使受害者迈出下一步,”他说。
他补充说,AI现在也被用来支持非实时的冒充,比如起草消息、调整语气,以及模仿某人与同事或朋友的正常沟通方式。这使得例行消息更难被质疑,也降低了接收者暂停验证互动的可能性。
爱德华兹警告,随着AI代理被引入日常交流和决策,风险将增加。“代理可以以机器速度发送消息、安排通话,并代表用户行动。如果这些系统被滥用或被攻破,深度伪造的音频或视频可以自动部署,将冒充从手动操作变成可扩展的流程,”他说。
他认为,大多数用户难以识别深度伪造,认为“答案不是让用户更加留意,而是建立默认保护系统。这意味着改善真实性的信号和验证方式,让用户无需凭直觉、熟悉度或手动调查,就能快速判断内容是真实的、合成的还是未验证的。”
