與北韓有關的威脅行為者正在加劇針對加密貨幣及金融科技公司的社交工程攻擊,部署新型惡意軟體,以竊取敏感資料和數位資產。
根據美國資安公司Mandiant(隸屬於Google Cloud)週二發布的報告,近期一場攻擊行動中,一個被追蹤為UNC1069的威脅團體部署了七種惡意軟體家族,旨在攔截並外洩受害者資料。
此次行動依賴社交工程手法,包括遭入侵的Telegram帳號,以及使用AI工具生成的深度偽造影片的假Zoom會議。
報告指出:“本次調查揭露了一起針對性的入侵,導致七種獨特惡意軟體家族被投放,其中包括專為攔截主機及受害者數據而設計的新工具:SILENCELIFT、DEEPBREATH和CHROMEPUSH。”
Mandiant表示,這一行動顯示該集團正在擴大運作規模,主要攻擊加密貨幣公司、軟體開發商和創投機構。
涉案惡意軟體包含兩種新發現的高複雜度資料竊取病毒,分別命名為CHROMEPUSH和DEEPBREATH,旨在繞過關鍵作業系統元件並獲取個人資料。
Mandiant自2018年以來一直追蹤此與北韓“疑似”有關的威脅行為者,但2025年11月,人工智慧的進步首度協助該犯罪份子擴大行動規模,並在活躍行動中引入了“AI驅動的誘餌”,據當時Google威脅情報組報告稱。
Cointelegraph就歸屬情形向Mandiant尋求更多細節,但截至發稿時尚未收到回覆。
攻擊者盜取加密貨幣創辦人帳號發動ClickFix攻擊
Mandiant揭露的一起入侵事件中,攻擊者利用一位加密貨幣創辦人的遭入侵Telegram帳號主動聯絡受害者。受害者被邀請參加一場Zoom會議,裡面包含偽造的影片畫面,攻擊者聲稱遇到音訊問題。
之後,攻擊者引導受害者在系統中執行疑似解決音訊問題的排查指令,這實際上是一種被稱為ClickFix攻擊的詐騙手法。
據Mandiant稱,所提供的排查指令中嵌入了一個隱藏指令,啟動了感染鏈。
與北韓相關的不法行為者一直是加密資產投資人及Web3原生企業持續的威脅。
據Cointelegraph報導,2025年6月,四名北韓行動人員以自由接案開發者身分滲透多家加密公司,累計竊取了90萬美元。
同年稍早,Lazarus集團被牽涉到Bybit 140億美元竊盜案,這是有史以來最大規模的加密貨幣竊盜事件之一。
