与朝鲜有关的威胁集团被标记为针对加密货币和金融科技行业，使用先进的恶意软件

谷歌云的Mandiant部门已发现一场源自朝鲜的日益激烈的网络攻击行动，战略性地针对加密货币和金融科技组织。该威胁行为者被命名为UNC1069，自2018年以来一直在持续监控中，现已部署大幅扩展的恶意工具库。

Mandiant调查揭示多种恶意软件家族

Mandiant的最新调查显示，一次高度复杂的入侵行动导致部署了七个不同的恶意软件家族，旨在收集并窃取受害组织的敏感数据。其中，两个新发现的变种——CHROMEPUSH和DEEPBREATH——专门设计用以绕过关键操作系统保护，同时提取个人和组织数据。此外，SILENCELIFT代表了这一扩展工具套件的另一个组成部分。这些发展突显了朝鲜网络行动在技术上的复杂性和资源投入，特别是在针对金融科技和加密货币行业方面。

AI生成的深度伪造被用于社交工程攻击

除了传统的恶意软件部署外，朝鲜相关的行动还结合了由人工智能驱动的先进社交工程策略。威胁行为者的操作人员攻占了合法的Telegram账户，并策划了虚假的Zoom会议，会议中使用AI生成的深度伪造视频以操控目标。受害者被欺骗执行隐藏的命令，利用ClickFix攻击——一种结合社交操控与技术利用的技术。这种由AI生成内容与社交工程融合的手段，成为一种新兴的威胁途径，增加了检测难度和受害者识别的难度。

从2018年至今的持续威胁演变

Mandiant对UNC1069的持续追踪显示，朝鲜的网络行动针对加密货币和金融科技行业的高价值目标具有持续性。从2018年的监控活动开始，已演变成更具能力和多样化的威胁行动，表明朝鲜在针对财务重要行业的网络能力上持续投入。在加密货币和金融科技领域运营的组织应提升防御水平，应对这一具有地缘政治动机的对手。