CoinFubi

Google的网络安全公司Mandiant警告称，朝鲜相关威胁行为者正在演变其针对数字货币和去中心化金融（DeFi）的技术，其中包括使用人工智能生成的深度伪造来在伪造的Zoom视频中欺骗受害者。
Mandiant，谷歌的子公司，周一发布了一份威胁情报报告，称最近调查了一起归因于与朝鲜有关的黑客组织UNC1069的攻击。
攻击者部署了一个“社交工程方案”，涉及一个被入侵的Telegram账户、一个伪装的Zoom会议、一个ClickFix感染向量——一种通过伪提示利用人为错误让用户在不知情的情况下运行恶意命令的技术——以及据称的AI生成视频。
受害者是一家金融科技实体，通过UNC1069已入侵的数字货币公司一名高管的账户，通过Telegram联系。

黑客随后与受害者建立信任关系，然后向其发送Calendly链接以安排30分钟的会议。
会议链接将受害者引导到由黑客的基础设施托管的伪造Zoom会议。

这种方案并非完全罕见。然而，令人担忧的创新在于，受害者据称告诉Mandiant，在通话中看到了一段似乎来自另一家数字货币公司CEO的深度伪造视频。

“朝鲜威胁行为者继续演化其作战技艺，瞄准加密货币和DeFi垂直领域，”谷歌的博客文章如是写道。

“在单一主机上部署的工具数量表明，受害者凭证、浏览器数据和会话令牌的收集力度之大，以促进金融盗窃。”
并补充说，“尽管UNC1069通常针对加密货币初创企业、软件开发者和风险投资公司，但部署多种新恶意软件家族……标志着其能力的显著扩展。”
据Mandiant称，新增战术的引入，如AI深度伪造的使用，是建立在Google在2025年11月出版的《AI Threat Tracker: Advances in Threat Actor Usage of AI Tools》首次记录的转变基础之上，其中Google威胁情报组（GTIG）确认UNC1069已从使用AI来实现简单生产力收益，转向在主动行动中部署新型AI启用诱饵。
到8月，朝鲜的创新黑客部队已转向国际劳动力市场，作为其最新攻击向量，使用AI伪装成远程IT工人并提供假IT职位，以获取西方公司云系统的访问权限。

谷歌强调的AI工具日益广泛的使用，标志着朝鲜在黑客和制裁规避方面的最新演变。
谷歌的Mandiant警告称，朝鲜相关威胁行为者正在发展其以加密货币为核心的作战技艺，利用社工工程和AI启用的诱饵。
据称UNC1069小组使用了被入侵的Telegram账户、伪造的Zoom会议以及ClickFix提示来诱使受害者执行恶意命令，最终在通话中出现AI生成的视频。
目标是收集凭证、浏览器数据和会话令牌，以促进金融盗窃。

受害者是一家金融科技实体，通过UNC1069已入侵的数字货币公司高管的账户，通过Telegram联系到他们。
攻击者随后与受害者建立信任关系，然后发送Calendly链接以安排30分钟的会议，最终进入由攻击者托管的伪造Zoom会议。
在通话中，受害者据称看到了另一家数字货币公司CEO的深度伪造视频，展示了新的AI启用诱饵。
“朝鲜威胁行为者继续演化其作战技艺，瞄准加密货币和DeFi垂直领域，”谷歌的博客文章提到。

报告强调，在单一主机上部署的工具数量反映出对收集凭证和令牌的坚定努力，超出典型目标如初创企业和开发者的范围，扩大了UNC1069的能力。
这一转变与此前谷歌对AI启用欺骗的评估相一致，标志着朝鲜网络行动的重大演变。