谷歌的Mandiant安全团队警告称，北朝鲜黑客正在将人工智能生成的深度伪造技术融入到虚假的视频会议中，作为对加密货币公司的日益复杂攻击的一部分，报告于周一发布。

Mandiant表示，它最近调查了一起金融科技公司的入侵事件，其认定为UNC1069，或称“CryptoCore”，这是一个与北朝鲜高度相关的威胁行为者。此次攻击使用了被入侵的Telegram账户，一个伪造的Zoom会议，以及一种所谓的ClickFix技术来欺骗受害者执行恶意命令。调查人员还发现了在虚假会议中使用的人工智能生成视频以欺骗目标的证据。

“Mandiant观察到UNC1069采用这些技术来针对加密货币行业的公司实体和个人，包括软件公司及其开发者，以及风险投资公司及其员工或高管，”报告中提到。

北朝鲜的加密货币盗窃活动

这一警告正值北朝鲜的加密货币盗窃活动规模持续增长之际。12月中旬，区块链分析公司Chainalysis表示，北朝鲜黑客在2025年盗取了20.2亿美元的加密货币，比前一年增长了51%。与朝鲜民主主义人民共和国相关的行为者总共盗取的金额现已达到约67.5亿美元，即使攻击次数有所下降。

这些发现突显了国家联系的网络犯罪分子作案方式的广泛转变。CryptoCore及类似团伙不再依赖大规模的钓鱼活动，而是专注于高度定制的攻击，利用日常数字互动中的信任，比如日历邀请和视频通话。通过这种方式，北朝鲜通过更少、更有针对性的事件实现了更大规模的盗窃。

根据Mandiant的说法，攻击始于受害者在Telegram上被联系，联系人看似是一个已经被入侵的知名加密货币高管。建立信任关系后，攻击者发送了一个Calendly链接，安排了一次30分钟的会议，指引受害者进入一个在该团体自己基础设施上托管的虚假Zoom会议。在通话期间，受害者报告称看到了一段看似是知名加密CEO的深度伪造视频。

会议开始后，攻击者声称有音频问题，并指示受害者运行“故障排除”命令，这是一种ClickFix技术，最终触发了恶意软件感染。后来法医分析发现受害者系统上有七个不同的恶意软件家族，显然是为了窃取凭证、浏览器数据和会话令牌以进行财务盗窃和未来的冒充。

深度伪造冒充

去中心化身份公司cheqd的联合创始人兼首席执行官Fraser Edwards表示，此次攻击反映了一种< a href="https://decrypt.co/329225/inside-north-korea-hiring-scams-crypto-firms" data-wpel-link="internal">模式，他在依赖于远程会议和快速协调工作的人员中反复看到。“这种方法的有效性在于几乎没有什么看起来不寻常，”Edwards说。

“发件人很熟悉。会议形式是常规的。没有恶意软件附件或明显的漏洞。信任在技术防御有机会介入之前就已被利用。”

Edwards表示，深度伪造视频通常在升级点引入，比如现场通话，在那里看到一个熟悉的面孔可以压倒由意外请求或技术问题造成的怀疑。“看到摄像头前似乎是真实的人，通常足以克服因意外请求或技术问题而产生的怀疑。目标不是长时间互动，而是提供足够的现实感让受害者迈向下一步，”他说。



他补充说，人工智能现在也被用于支持现场通话之外的冒充。“它被用来起草消息、纠正语气，并模仿某人与同事或朋友的正常交流方式。这使常规消息更难质疑，并减少收件人停下来验证互动的机会，”他解释道。

Edwards警告说，随着人工智能代理的引入到日常沟通和决策中，风险将增加。“代理可以以机器速度发送消息、安排通话，并代表用户行动。如果这些系统被滥用或入侵，深度伪造音频或视频可以自动部署，将冒充从手动努力转变为可扩展的过程，”他说。

Edwards表示，期望大多数用户知道如何识别深度伪造是不“现实的”，并补充说，“解决方案不是要求用户更加关注，而是建立能够默认保护他们的系统。这意味着改善真实性的信号和验证方式，这样用户可以快速理解内容是否真实、合成或未经验证，而不必依赖直觉、熟悉或手动调查。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。