与朝鲜有关的网络威胁标志着先进的加密货币恶意软件活动

谷歌云的威胁情报部门已标记出一场与朝鲜有关的复杂且迅速升级的网络行动，针对加密货币和金融科技公司，使用强大的恶意软件和AI增强的社会工程策略。这一威胁群组，命名为UNC1069，代表了自2018年首次监测到的活动的显著加强，现在具有更强的能力和更有针对性的方法。

Mandiant在不断扩展的UNC1069行动中发现七种不同的恶意软件变体

由谷歌云安全部门运营的Mandiant调查揭示了一场入侵行动，部署了七个不同的恶意软件家族，专门用来收集和窃取目标组织的敏感数据。根据官方报告，“此次调查揭示了一次复杂的入侵，涉及部署七套独特的恶意软件工具，包括新识别的变体，旨在捕获系统信息和受害者凭据：SILENCELIFT、DEEPBREATH和CHROMEPUSH。”

其中两个新发现的恶意软件变体值得特别关注。CHROMEPUSH和DEEPBREATH代表了攻击者武器库中的技术突破，旨在绕过关键操作系统的安全保护，从受感染的系统中提取个人和财务数据。

AI驱动的深度伪造和ClickFix攻击推动社会工程成功

与朝鲜有关的行动展示了利用人工智能提升社会工程效果的复杂手段。攻击者攻陷了合法的Telegram账户，并策划了精心设计的虚假Zoom会议，会议中使用AI生成的深度伪造视频——这是网络战术的重大演变。受害者被操控执行隐藏的恶意命令，所谓的ClickFix攻击利用用户信任和表面合法性，绕过安全意识防御。

为什么朝鲜针对加密货币和金融科技基础设施

对加密货币和金融科技公司的关注反映了更广泛的地缘政治战略。这些行业在金融盗窃和情报收集方面具有关键价值。2018年的基础活动表明，这是一场成熟、持续时间较长的行动，拥有深厚的基础设施和成熟的目标定位方法。

新的恶意软件能力预示技术水平不断提升

除了公开披露的恶意软件家族外，这些工具的复杂性——尤其是它们绕过操作系统保护的能力——表明与朝鲜有关的威胁行为者在不断提升其技术水平。七个不同的恶意软件家族的结合，显示出一种模块化的攻击策略，使操作人员能够根据不同受害环境和目标定制工具包。

此次行动的标记凸显了朝鲜对全球金融科技生态系统构成的日益增长的威胁，也强调了加密货币和金融科技组织亟需增强防御能力，以应对国家级对手的挑战。