朝鲜国家黑客利用虚假的Zoom会议攻击加密货币公司

朝鲜国家黑客正利用多种独特的恶意软件攻击加密货币公司，并配合多种诈骗手段，包括虚假的 Zoom 会议。. 

据观察，与朝鲜有关联的威胁行为者 UNC1069 以加密货币领域为目标，试图从 Windows 和 macOS 系统中窃取敏感数据，其最终目的是实施金融盗窃。.

经评估，UNC1069 自 2018 年 4 月起活跃。该组织曾利用虚假会议邀请和冒充信誉良好的公司投资者等手段，开展社会工程活动以谋取经济利益。. 

虚假的 Zoom 通话利用恶意软件攻击加密货币公司

谷歌旗下Mandiant的研究人员在其最新报告中详细介绍了他们对一起针对加密货币行业金融科技公司的入侵事件的调查。据调查人员称，此次入侵始于一名加密货币行业高管的Telegram账户被盗用。. 

攻击者利用被盗用的个人资料联系受害者。他们逐步建立信任，然后发送 Calendly 视频会议邀请。会议链接将目标用户引导至一个伪造的 Zoom 域名，该域名托管在攻击者控制的基础设施上。.

通话期间，受害者称看到一段疑似深度伪造的视频，视频中的人物是另一家加密货币公司的首席执行官。.

报告指出： “虽然 Mandiant 无法恢复取证证据来dentdent相似据称。

攻击者制造了会议音频故障的假象，以此为下一步行动提供借口。他们指示受害者在其设备上运行故障排除命令。这些命令针对 macOS 和 Windows 系统进行了定制，秘密启动了感染链。结果，多个恶意软件组件被激活。.

Mandiantdent出此次攻击中使用的七种不同类型的恶意软件。这些工具旨在访问钥匙串并窃取密码、检索浏览器 cookie 和登录信息、访问 Telegram 会话信息以及获取其他私人文件。.

调查人员评估认为，此次攻击的目的有两个：一是可能实施加密货币盗窃，二是收集可用于未来社会工程攻击的数据。调查显示，单个主机上被投放了数量异常庞大的工具。. 

人工智能辅助的诈骗团伙表现出更高的运作效率

这起dent 只是更大范围犯罪模式的一部分。与朝鲜有关联的人员冒充业内可信人士，在虚假的Zoom和Microsoft Teams会议中窃取了超过3亿美元。.

全年的活动规模更加惊人。据CryptopolitanCryptopolitan，朝鲜威胁组织在 2025 年窃取了价值 20.2 亿美元的数字资产，比上一年增长了 51%。

Chainalysis 的研究还发现，与人工智能服务提供商相关的诈骗团伙比没有此类关联的诈骗团伙运营效率更高。该公司认为，这一趋势预示着未来人工智能将成为大多数诈骗活动的标准组成部分。

谷歌威胁情报小组 (GTIG) 在去年 11 月发布的一份报告中指出，攻击者使用了生成式人工智能 (AI) 工具，例如 Gemini。他们利用这些工具生成诱饵材料和其他与加密相关的讯息，以此来支持其社会工程攻击活动。.

至少从 2023 年开始，该组织已从鱼叉式网络钓鱼技术和传统金融 (TradFi) 目标转向 Web3 行业，例如中心化交易所 (CEX)、金融机构的软件开发人员、高科技公司和风险投资基金的个人。.

谷歌。.

据观察，该组织还试图滥用 Gemini 开发代码来窃取加密资产。他们还利用深度伪造图像和视频诱饵，模仿加密货币行业人士，将名为 BIGMACHO 的后门程序伪装成 Zoom 软件开发工具包 (SDK) 分发给受害者。.

想让你的项目出现在加密货币领域的顶尖人士面前吗？那就把它刊登在我们下一份行业报告中吧，届时数据将与实际影响相结合。