朝鲜加剧加密货币威胁：谷歌云标记新恶意软件活动

Mandiant 在谷歌云安全部门的监督下，已发现与朝鲜有关的复杂网络行动，针对加密货币和金融科技行业，展现出前所未有的复杂性。该威胁群，追踪编号为 UNC1069，代表着自2018年首次发现以来活动的显著扩展，现在表现为多种先进恶意软件的协调部署以及利用人工智能增强的社会工程策略，旨在破坏数字资产并窃取高价值目标的敏感数据。

七个恶意软件家族针对加密货币和金融科技行业

此次新发现的行动引入了七个不同的恶意软件家族，旨在渗透并提取加密平台和金融科技公司的信息。其中，三种新识别的变体尤为突出：SILENCELIFT、DEEPBREATH 和 CHROMEPUSH。根据Mandiant的官方调查报告，这些工具专门设计用于捕获全面的主机和受害者信息，使攻击者能够保持持续访问权限并窃取凭证、密钥和专有数据。

DEEPBREATH 和 CHROMEPUSH 代表了一种特别危险的演变，因为它们都被设计用来规避关键操作系统保护措施，并绕过通常用于防止未授权数据访问的安全机制。这种技术上的复杂性表明，攻击者拥有丰富的资源和对加密行业所采用的安全架构的深刻了解。

人工智能驱动的社会工程和ClickFix攻击改变攻击路径

这场与朝鲜有关的行动利用多层次的社会工程策略，结合人工智能与传统欺骗手段。攻击者利用被攻破的Telegram账户与目标建立初步联系，然后策划虚假Zoom会议，会议中使用AI生成的深度伪造视频，操控受害者配合行动。

这种欺骗最终演变为ClickFix攻击——一种诱使受害者在系统上执行隐藏命令的技术，受害者误以为是在进行常规安全检查或系统维护。这种攻击路径对安全意识强的组织尤为有效，因为它利用了用户对合法故障排除流程的天然信任。

Mandiant 发现朝鲜相关威胁群UNC1069的快速演变

谷歌云的Mandiant团队对此次通报的意义超越了技术细节。自2018年首次监测以来，UNC1069 展示了持续的演变和资源扩展，表明其背后存在持续的国家支持。恶意软件开发的加速以及人工智能驱动的社会工程策略的整合，显示出威胁行为者正从偶发性目标转向对战略性加密货币和金融基础设施资产的精准攻击。

这一升级标志着国家行为者在对加密行业的攻击方式上发生了转变，从基础的目标锁定到复杂的多阶段行动，能够破坏安全环境。加密和金融科技社区正面临前所未有的协调威胁活动，亟需提升防御措施并加强行业间的威胁情报共享。