2月11日消息,谷歌旗下安全團隊Mandiant披露,一個與朝鮮有關聯的黑客組織,正利用深度偽造影片與虛假Zoom通話,對加密貨幣行業發動高度定制化的社會工程攻擊,並透過植入多種惡意程式實施資產與資料竊取。
調查顯示,該行動由網路威脅組織UNC1069發起。該團伙至少自2018年活躍,並在2023年後將目標從傳統金融轉向Web3領域,包括加密金融科技公司高層、軟體開發者和風險投資從業者。此次事件始於一名業界高層的Telegram帳號被劫持,攻擊者以其身份接觸目標,建立信任後發送偽造的Calendly影片會議邀請。
受害者點擊連結後,被引導至攻擊者控制的假Zoom域名。通話中,對方展示了一段疑似另一家加密公司CEO的深度偽造影片,並以「音訊故障」為由,誘導目標在電腦上執行所謂的排錯指令。這些指令在macOS和Windows系統中觸發感染鏈,悄然部署多達七種惡意軟體。
Mandiant確認,這些工具可竊取Keychain憑證、瀏覽器Cookie、登入資訊、Telegram會話及本地敏感檔案。研究人員判斷,攻擊者一方面意在直接取得加密資產,另一方面也在收集情報,為後續詐騙鋪路。單台設備中部署如此多工具,顯示這是一次精心策劃的定點滲透。
這一事件並非孤例。2025年,類似的AI會議詐騙已造成超過3億美元損失;全年與朝鮮相關的網路行動共竊取約20.2億美元數位資產,較去年成長51%。Chainalysis亦指出,結合鏈上AI服務的詐騙團伙,其效率顯著高於傳統模式。
隨著深度偽造門檻持續降低,加密行業正面臨前所未有的安全挑戰。專家提醒,涉及資金與系統權限的線上會議,必須強化多重驗證與設備隔離,否則將成為下一波攻擊的突破口。
