据周一发布的一份报告显示,谷歌旗下的安全团队 Mandiant 警告称,朝鲜黑客正在将人工智能生成的深度伪造技术融入虚假视频会议中,以此作为针对加密货币公司日益复杂的攻击的一部分。
Mandiant 表示,他们近期调查了一起针对一家金融科技公司的入侵事件,并将此次攻击归咎于UNC1069或“CryptoCore”——一个与朝鲜高度相关的威胁组织。该攻击利用被盗用的Telegram账户、伪造的Zoom会议以及所谓的ClickFix技术,诱骗受害者运行恶意指令。调查人员还发现证据表明,攻击者在伪造会议期间使用了人工智能生成的视频来欺骗目标用户。
报告称:“Mandiant 观察到 UNC1069 使用这些技术来攻击加密货币行业的企业实体和个人,包括软件公司及其开发人员,以及风险投资公司及其员工或高管。”
发出这一警告之际,朝鲜的加密货币盗窃活动规模仍在持续扩大。区块链分析公司Chainalysis在12月中旬表示,朝鲜黑客在2025年窃取了价值20.2亿美元的加密货币,比上一年增长了51%。尽管攻击次数有所下降,但与朝鲜有关联的黑客窃取的加密货币总额目前已达到约67.5亿美元。
研究结果凸显了与国家有关联的网络犯罪分子运作方式的更广泛转变。CryptoCore 和类似组织不再依赖大规模网络钓鱼活动,而是专注于高度定制化的攻击,利用人们对日常数字互动(例如日历邀请和视频通话)的信任。通过这种方式,朝鲜能够以更少、更精准的攻击手段窃取更多资金。
据 Mandiant 称,攻击始于受害者在 Telegram 上收到一个看似知名加密货币高管的联系,该高管的账户已被盗用。建立起信任关系后,攻击者发送了一个 Calendly 链接,声称要安排一个 30 分钟的会议,但该链接会将受害者引导至一个伪造的 Zoom 会议,该会议托管在攻击者自己的平台上。在会议期间,受害者报告说看到了一段疑似知名加密货币 CEO 的深度伪造视频。
会议开始后,攻击者声称存在音频问题,并指示受害者运行“故障排除”命令,这种ClickFix式的攻击最终导致恶意软件感染。取证分析随后在受害者系统中发现了七个不同的恶意软件家族,其部署显然是为了窃取凭证、浏览器数据和会话令牌,以进行金融盗窃和日后的身份冒用。
去中心化身份公司cheqd的联合创始人兼首席执行官弗雷泽·爱德华兹表示,此次攻击反映了他反复观察到的一种模式,这种模式针对的是那些工作依赖于远程会议和快速协调的人群。“这种攻击方式的有效性在于,它只需要很小的伪装就能达到目的,”爱德华兹说道。
“发件人是熟人。会议形式也很常规。没有恶意软件附件或明显的漏洞利用。在任何技术防御措施有机会介入之前,信任就已经被利用了。”
爱德华兹表示,深度伪造视频通常会在事态升级的关键时刻出现,例如实时通话中,此时看到一张熟悉的面孔可以消除因意外要求或技术问题而产生的疑虑。“在摄像头前看到看似真人的人,通常足以消除因意外要求或技术问题而产生的疑虑。其目的并非延长互动时间,而是营造足够的逼真度,促使受害者采取下一步行动。”他说道。
他还补充说,人工智能现在也被用于在实时通话之外进行身份冒充。“它可以用来撰写信息、纠正语气,并模仿某人与同事或朋友的日常沟通方式。这使得日常信息更难被质疑,也降低了收件人停下来核实信息的可能性。”他解释道。
爱德华兹警告说,随着人工智能代理被引入日常沟通和决策,风险将会增加。“代理可以以机器速度发送消息、安排通话并代表用户采取行动。如果这些系统遭到滥用或入侵,深度伪造的音频或视频就可以自动部署,将身份冒用从人工操作转变为可扩展的过程。”他说道。
爱德华兹表示,指望大多数用户知道如何识别深度伪造内容是“不现实的”,并补充说,“解决办法不是要求用户更加谨慎,而是构建默认保护用户的系统。这意味着要改进真实性标识和验证方式,让用户无需依赖直觉、熟悉程度或手动调查,就能快速了解内容是真实的、合成的还是未经证实的。”
