北韓駭客UNC1069鎖定加密貨幣產業而來,透過AI社交工程散佈後門與竊資軟體
攻擊目標與手法
北韓駭客組織UNC1069持續針對加密貨幣與去中心化金融(DeFi)產業發動攻擊,透過社交工程與AI生成內容,針對特定企業與求職者進行竊取行動。
惡意軟體與後門部署
- 第一個部署的惡意軟體為名為WaveShaper的後門程式,其用途為部署在目標系統上,以長期監控與竊取資料。
- 駭客透過虛構的視訊會議、假冒遠距工程師身份,結合AI生成影片與內容,引誘目標上當。
- 惡意軟體能透過VS Code等開發工具植入後門,並竊取內部資料與加密資產。
攻擊範圍與影響
根據Mandiant與Google威脅情報團隊(GTIG)的報告,北韓駭客已滲透約15至20%的加密貨幣企業,其攻擊範圍涵蓋區塊鏈專案開發者與幣圈公司員工。
2025年2月對ByBit交易所發動的15億美元攻擊,是加密貨幣史上最大規模的單一竊盜案,佔當年總竊取金額約69%。
國際與資安回應
資安公司Mandiant與FBI已公開警告,北韓駭客透過社群媒體與求職平臺進行深入研究,以識別潛在目標,並利用AI技術提升社交工程攻擊的精準度與規模。
截至2025年底,與北韓有關聯的黑客竊取金額較2024年多出逾50%,累計竊取規模達67.5億美元。