朝鲜因针对金融科技部门的复杂加密恶意软件活动而被标记

谷歌云的Mandiant部门的安全研究人员发现了一场与朝鲜有关的协调网络攻击行动，正在积极针对加密货币和金融科技公司。该威胁群组，命名为UNC1069，代表着自2018年首次发现以来活动的重大升级，目前使用一系列恶意工具结合先进的社会工程技术，试图突破数字资产领域的高价值目标。

UNC1069威胁群组——一个持续的朝鲜相关行动

Mandiant的调查揭示了一场精心策划的入侵行动，使用一整套新识别的攻击工具。该行动展现了朝鲜网络能力的演变，研究人员确认部署了七个不同的恶意软件家族，专为此次行动量身定制。根据Mandiant的详细威胁评估，这次活动比该集团之前的行动有了显著扩展，表明其在开发针对金融科技行业的复杂攻击基础设施方面持续投入。

七个用于数据窃取的恶意软件家族

新发现的恶意软件工具包包括SILENCELIFT、DEEPBREATH和CHROMEPUSH——三种特别危险的变体，旨在突破现代安全防御。CHROMEPUSH和DEEPBREATH专门设计用以绕过关键操作系统保护，从受感染的系统中收集敏感个人信息。这些工具代表了朝鲜技术能力的显著提升，使攻击者能够提取主机数据和受害者凭据，同时避开传统的端点检测机制。

AI驱动的社会工程和ClickFix策略

除了纯粹的恶意软件部署外，朝鲜相关的行动还利用了结合AI技术的复杂社会工程策略，融合了传统钓鱼手段。该行动利用被攻破的Telegram账户与目标建立虚假信任，然后升级到伪造的Zoom会议，会议中展示由AI生成的深度伪造视频，模仿合法人物。受害者随后被操控执行隐藏的命令，通过ClickFix攻击——一种诱导用户运行伪装成合法系统修复或安全提示的恶意代码的技术。这种结合人工智能、凭据盗窃和心理操控的多层次策略，展示了威胁行为者正超越传统仅依赖恶意软件的攻击方式。