Google 的 Mandiant 安全團隊警告,朝鮮駭客正將 AI 生成的深偽技術整合到假冒的視訊會議中,作為日益精密的攻擊行動的一部分,針對加密貨幣公司展開攻擊,根據週一公布的報告。
Mandiant 表示,近期他們調查了一起金融科技公司的入侵事件,歸咎於 UNC1069(又稱「CryptoCore」)——一個與朝鮮高度相關的威脅行動者。這次攻擊利用被劫持的 Telegram 帳號、假冒的 Zoom 會議,以及 ClickFix 技術,誘使受害者執行惡意指令。調查人員還發現證據顯示,AI 生成的影片曾被用於假會議中,以欺騙目標。
根據報告,Mandiant 觀察到 UNC1069 使用這些技術來針對加密貨幣產業的組織與個人,包括軟體公司、程式設計師,以及風險投資基金與其團隊和領導層。
此警告發佈之際,與朝鮮相關的加密貨幣盜竊事件規模持續擴大。12 月中旬,區塊鏈分析公司 Chainalysis 表示,朝鮮駭客在 2025 年竊取了 20.2 億美元的加密貨幣,比去年增加 51%。與平壤有關的團體目前共竊取約 67.5 億美元的數位資產,儘管攻擊次數有所減少。
這些發現顯示,國家相關的網路犯罪團體的運作方式正在改變。與過去大規模釣魚攻擊不同,CryptoCore 和類似團體現在專注於高度個人化的攻擊,利用信任進行數位互動,例如會議邀請或視訊通話。這樣一來,駭客能在較少事件中取得更大價值,因為攻擊更具針對性。
根據 Mandiant 的說法,攻擊始於受害者透過 Telegram 被一名看似熟悉的加密貨幣行業領導人聯繫,但該帳號實則已被駭客控制。在建立信任後,攻擊者會傳送 Calendly 連結安排 30 分鐘的會議,並引導受害者加入一個存放在團隊專屬基礎設施上的假 Zoom 通話。在通話中,受害者會看到一段由 AI 生成的知名加密貨幣 CEO 的深偽影片。
會議開始時,駭客會以聲音故障為由,指示受害者執行「修復錯誤」的指令——這是 ClickFix 技術的一個變體,藉此啟動惡意程式。事後法醫分析發現,受害者系統中存在七種不同的惡意程式碼,用於竊取登入資訊、瀏覽器資料和會話令牌,以達到財務盜取與身份冒充的目的。
分散式識別公司 cheqd 的共同創辦人兼 CEO Fraser Edwards 表示,這起事件反映出駭客日益針對依賴線上會議與遠端協作的個人。據他說,這種手法的有效性在於幾乎沒有明顯異常跡象:發件人看似熟悉、會議格式熟悉,沒有附件或明顯漏洞。信任在技術防禦措施介入前就已被利用。
Edwards 指出,深偽影片通常在攻擊升級階段出現,例如在直接通話中,當一張熟悉的臉孔影像能夠消除疑慮,避免因異常要求或技術問題而引發懷疑。目標不是延長互動時間,而是用足夠的逼真度促使受害者進行下一步。
他也強調,AI 現在被用來協助假冒,不僅在直接通話中,還包括撰寫訊息、調整語調,以及模擬個人與同事或朋友的溝通風格。這使得日常訊息更難被懷疑,並降低受害者停下來核實的可能性。
Edwards 認為,隨著 AI 更深度融入日常通訊與決策,相關風險將持續增加。這些系統能以機器速度傳送訊息、安排通話與代表用戶行動。一旦被濫用或入侵,深偽的聲音與影片可以自動化部署,將人為的詐騙行為轉變為可大規模擴展的流程。
他認為,期望大多數用戶能自行辨識深偽影片是不切實際的。相較於要求用戶提高警覺,更應建立預設的保護系統,改善驗證機制與內容真實性顯示,讓用戶能快速判斷資訊是否真實、由 AI 產生或未經驗證,而非依賴直覺或熟悉感。
