朝鲜关联黑客团伙部署新型加密货币恶意软件

2025年11月，谷歌云旗下网络安全公司Mandiant发布报告称，与朝鲜有关联的威胁团伙UNC1069正在升级针对加密货币及金融科技企业的社交工程攻击，已部署7种新型数据窃取型恶意软件。

攻击手法升级

该团伙通过劫持Telegram账户和伪造Zoom会议实施网络诈骗，在深度伪造视频中声称遭遇音频故障，诱使受害者运行所谓“故障排除命令”。Mandiant指出，这些命令中暗含隐藏指令，可启动感染链窃取敏感数据。

报告披露的恶意软件包括SILENCELIFT、DEEPBREATH和CHROMEPUSH等新型工具，其中两种病毒具备绕过操作系统核心组件的能力。这是该团伙首次将AI生成内容纳入实际攻击，标志着黑客技术迭代。

历史攻击记录

据Mandiant追踪，UNC1069自2018年起持续针对加密货币公司、软件开发商及风投机构。2025年6月，该团伙曾以自由职业开发者身份侵入多家加密货币初创公司，盗取90万美元资金。同年早些时候，拉扎鲁斯集团关联的Bybit平台遭14亿美元黑客攻击，创历史最大单笔加密货币盗窃案。

2025年11月12日，Mandiant发布最新报告显示，黑客通过AI技术生成的虚假视频和伪造会议，已形成成熟的攻击链条。Cointelegraph就此联系Mandiant寻求更多细节，但未获回应。

全球网络安全态势

联合国安理会已多次讨论朝鲜网络攻击问题。此次事件凸显加密货币行业面临的安全挑战，尤其在AI深度伪造技术滥用背景下，全球监管机构正加速制定防范措施。