谷歌警告：朝鲜AI恶意软件瞄准加密货币与DeFi领域发起攻击

谷歌旗下曼迪安特安全团队警告称，朝鲜黑客正将人工智能生成的深度伪造视频植入虚假线上会议，以此对加密货币企业实施日益复杂的攻击。

根据本周一发布的报告，曼迪安特近日调查了一起针对某金融科技公司的入侵事件，并将其归因于代号UNC1069（亦称"CryptoCore"）的黑客组织。该攻击通过被劫持的Telegram账号、伪造的Zoom会议及所谓"点击修复"技术诱骗受害者执行恶意指令。调查人员还发现，攻击者在虚假会议中使用人工智能生成的视频对目标实施欺诈。

针对性攻击取代广撒网式钓鱼

报告指出，UNC1069运用此类技术持续针对加密货币行业的企业与个人，包括软件公司及其开发者、风投机构及其雇员或高管。这一预警发布之际，朝鲜窃取加密货币的规模正持续扩大。去年十二月中旬，区块链分析公司Chainalysis披露，朝鲜黑客在2025年窃取了价值20.2亿美元的加密货币，较上年增长51%。尽管攻击次数有所减少，但朝鲜相关攻击者累计窃取金额已高达约67.5亿美元。

这些发现揭示了国家背景网络犯罪运作模式的重大转变。与大规模钓鱼攻击不同，CryptoCore等组织专注于高度定制化的攻击，利用人们对日常数字互动（如日历邀请和视频通话）的信任。通过这种策略，朝鲜正以更少但更精准的攻击获得更大收益。

深度伪造视频成为信任突破口

据曼迪安特描述，攻击始于受害者在Telegram上收到貌似某知名加密货币高管的联系请求，而该账号早已被攻击者控制。建立信任后，攻击者发送Calendly日程链接，引导受害者加入由黑客基础设施搭建的虚假Zoom会议。会议期间，受害者称看到某知名加密货币CEO的深度伪造视频。

会议开始后，攻击者谎称存在音频问题，指示受害者运行"故障排除"命令，这种"点击修复"技术最终触发恶意软件感染。取证分析显示，受害者系统中被植入了七个不同的恶意软件家族，旨在窃取凭证、浏览器数据和会话令牌，为后续金融盗窃与身份冒充铺路。

人工智能全面渗透社交工程攻击

去中心化身份公司cheqd联合创始人兼首席执行官弗雷泽·爱德华兹指出，此类攻击已成为针对依赖远程会议与快速协调工作人群的常见模式。"这种手法的有效性源于其几乎不露破绽——发送者身份熟悉，会议形式常规，既无恶意附件也无明显漏洞。在技术防御机制介入之前，信任关系已被彻底利用。"

爱德华兹强调，深度伪造视频通常在关键节点引入，例如实时通话中，熟悉的面容足以消解因非常规请求或技术问题产生的疑虑。"屏幕上出现的逼真人物形象往往能消除受害者的戒备，攻击者并不追求长时间互动，只需足够真实的表象推动受害者进入下一环节。"

他补充说，人工智能现已扩展到实时通话之外的冒充场景："它被用于起草信息、修正语气语调、模仿目标与同事朋友的日常交流方式，这使得常规消息更难被质疑，降低了接收者暂停查验的可能性。"

系统性防护成应对关键

随着人工智能代理逐步融入日常通信与决策流程，爱德华兹警告相关风险将持续升级："智能代理能以机器速度发送消息、安排通话、代表用户执行操作。若这些系统遭滥用或被攻破，深度伪造音视频将可自动部署，使人格冒充从手工操作转变为可规模化的流程。"

他直言要求普通用户识别深度伪造"不切实际"，并指出解决方案"不应依赖用户提高警惕，而需构建默认保护机制"。这意味着必须改进真实性标识与验证体系，使用户无需凭借直觉、熟悉度或人工查验，即可快速甄别内容的真实性、合成属性或未验证状态。