据周一发布的一份报告,谷歌Mandiant安全团队警告称,朝鲜黑客正在将AI生成的深度伪造技术整合进虚假视频会议,作为针对加密公司的日益复杂的攻击行动的一部分。
Mandiant表示,最近调查了一家金融科技公司的一宗风暴事件,该事件归因于UNC1069(又称“CryptoCore”)——一个与朝鲜关系极为密切的威胁行为者。该攻击利用被劫持的Telegram账户、虚假的Zoom会议以及ClickFix技术,诱使受害者执行恶意命令。调查人员还发现,人工智能生成的视频被用来欺骗目标。
据报道,Mandiant指出UNC1069将这些技术应用于加密行业的组织和个人,包括软件公司、程序员以及风险投资基金及其员工和领导层。
这一警告发布之际,朝鲜相关的加密盗窃事件规模持续扩大。12月中旬,区块链分析公司Chainalysis表示,2025年朝鲜黑客窃取了20.2亿美元的加密货币,较去年增长51%。与平壤有关的团体所挪用的数字资产总价值现估计为67.5亿美元,尽管攻击数量有所减少。
这些发现显示了国家关联网络犯罪集团运作方式的转变。CryptoCore 等类似组织不发动大规模钓鱼活动,而是专注于高度个性化的攻击,利用熟悉的数字互动(如会议邀请或视频通话)中的信任。因此,黑客可以通过较少的事件数量实施更大规模的盗窃,但目标明确。
据Mandiant称,攻击始于受害者通过Telegram被一名看似加密行业知名领导者的人联系,但该账户实际上被黑客控制。建立信任后,攻击者发送Calendly链接,安排30分钟会议,结果将受害者引导到该组织私人基础设施上托管的假Zoom通话。通话中,受害者表示她看到了一段知名加密CEO的深度伪造视频。
会议开始时,黑客为音频问题辩解,并指示受害者执行“fix the error”命令——这是ClickFix技术的一种变体——从而激活了恶意软件。取证分析随后发现受害者系统中存在七个不同家族的恶意软件,这些恶意软件被用来窃取登录凭证、浏览器数据和会话令牌,目的是进行财务挪用和冒充。
去中心化身份公司cheqd的联合创始人兼首席执行官Fraser Edwards表示,此次事件反映了黑客越来越多地针对依赖在线会议和远程协调的个人的趋势。据他说,这种方法的有效之处在于几乎没有明显的异常迹象:熟悉的发件人、熟悉的会议形式、没有明显的依附或漏洞。信任在技术防御措施介入之前就已被利用。
爱德华兹表示,深度伪造视频通常出现在升级阶段,比如在直播通话中,当熟悉面孔的画面可以消除因异常请求或技术问题而产生的怀疑。目标不是延长互动时间,而是足够真实地激励受害者迈出下一步。
他还强调,人工智能现在被用来辅助超越现场通话范围的模仿,包括起草信息、调整语气,以及模拟个人与同事或朋友的熟悉沟通方式。这使得日常信息更难被怀疑,也减少了接收者暂停进行验证的可能性。
爱德华兹表示,随着人工智能智能体更深入地融入日常沟通和决策,风险将持续增加。这些系统可以发送消息、调度通话,并以机器速度代表用户行动。如果被滥用或被攻破,音频和视频深度伪造可以自动部署,将人工模仿转变为一个高度可扩展的过程。
他说,期望大多数用户能够自行检测深度伪造是不现实的。与其要求用户更加警惕,不如默认构建保护系统,改进认证机制,展示内容真实性,使用户能够快速识别信息是真实、AI生成还是未经验证,而非依赖情感或熟悉感。
达山
