谷歌云旗下网络安全公司 Mandiant 发布最新报告称，疑似与朝鲜有关的威胁行为者近期加大了对加密货币及金融科技企业的攻击力度，利用社会工程手段和新型恶意软件收集敏感信息并窃取数字资产。

多个恶意软件家族被用于定向入侵

报告显示，在近期一次行动中，被编号为 UNC1069 的威胁团伙部署了七个不同的恶意软件家族，专门用于捕获并外泄受害者数据。Mandiant在报告中指出，此次行动属于一次“定制化入侵”，涉及多种工具的组合使用。

其中包括一套新识别的工具集，用于收集主机及受害者数据，具体恶意软件名称包括 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH。Mandiant表示，这一行动体现了该组织活动范围的扩展，主要攻击目标为加密货币公司、软件开发者以及风险投资机构。

据介绍，CHROMEPUSH 和 DEEPBREATH 被描述为两种新发现的复杂数据挖掘恶意软件，设计目的在于绕过关键操作系统组件，从而获取个人数据。

利用被攻破账号与深度伪造视频实施社会工程

Mandiant称，此次行动高度依赖社会工程策略，包括使用被攻破的 Telegram 账户与受害者建立联系，并通过人工智能工具生成的深度伪造视频，在虚假 Zoom 会议中实施欺骗。

在一例具体入侵案例中，攻击者首先控制了一名加密货币公司创始人的 Telegram 账户，并以该身份向受害者发出 Zoom 会议邀请。会议过程中，攻击者播放伪造的视频画面，并以“音频出现问题”为由，要求受害者在本地系统中执行所谓的故障排除命令。

Mandiant将这一手法称为 ClickFix 攻击。据报告披露，这些“故障排除命令”中嵌入了一个关键指令，用于触发后续的恶意软件感染链。

人工智能被用于扩大量化攻击

根据谷歌威胁情报组在 2025 年 11 月发布的报告，Mandiant 自 2018 年起一直追踪这支“疑似”与朝鲜有关的威胁团伙。该报告指出，人工智能技术的进步帮助该组织显著扩大了行动规模，并首次在实际攻击中使用“人工智能驱动的诱饵”。

Mandiant表示，此次发现的恶意软件活动是该团伙行动演变的一部分，显示其在工具多样化和攻击流程自动化方面持续推进。Cointelegraph 称已就更多归属细节联系 Mandiant，但截至发稿尚未获得回复。

与加密行业既往攻击活动相关联

报道提到，与朝鲜有关的非法行为者长期被视为加密投资者和 Web3 原生企业的持续威胁。

2025 年 6 月，四名朝鲜特工以自由开发者身份渗透多家加密公司，从相关初创企业累计窃取约 90 万美元。Cointelegraph 此前曾就此进行报道。

同年早些时候，Lazarus 集团被指与加密交易平台 Bybit 遭遇的黑客事件有关，涉案金额约 140 亿美元。该事件被描述为迄今记录中规模最大之一的加密资产盗窃案。

Mandiant在最新报告中未就 UNC1069 与既有组织之间的具体关系作出公开界定，但强调相关活动显示出持续针对加密和金融科技领域的攻击趋势。