加密貨幣騙局升級！北韓 Lazarus 用 AI 深偽 Zoom 盜走數億美元

北韓加密駭客正在完善一種常見的加密貨幣騙局。根據數位安全公司卡巴斯基的報告，北韓最令人恐懼的犯罪組織 Lazarus Group 的分支 BlueNoroff APT 正在使用兩個名為 GhostCall 和 GhostHire 的新型活動，利用人工智慧和重複的視訊通話來提高可信度。

北韓 Lazarus Group 從求職者變身獵人

（來源：X）

北韓加密駭客已經成為全球威脅，但他們的滲透策略已經發生了重大變化。這些犯罪者過去只在 Web3 公司求職，試圖透過成為內部員工來竊取資產或植入後門。然而，最近他們開始利用虛假的招募訊息傳播惡意軟體，從求職者轉變為獵人。現在，他們的計劃又在擴大，手法更加難以識別。

Lazarus Group 是北韓政府支持的駭客組織，被認為是全球最活躍和最成功的加密貨幣竊賊。根據聯合國和區塊鏈分析公司 Chainalysis 的估計，該組織自 2017 年以來已竊取超過 30 億美元的加密貨幣資產。這些資金被用於資助北韓的核武器和飛彈計畫，使其成為國際安全威脅。

過去，Lazarus 的手法相對粗糙。他們會大量發送釣魚郵件，附帶受感染的文件，希望有人點擊。或者他們會在 LinkedIn 等職業社交平台上假扮求職者,試圖進入加密貨幣公司內部。這些方法雖然有時成功，但成功率並不高，因為許多公司已經建立了相應的防禦機制。

然而，BlueNoroff APT 作為 Lazarus Group 的一個專門針對金融機構和加密貨幣公司的分支，正在展現出更高的專業性和適應性。卡巴斯基的研究人員發現，GhostCall 和 GhostHire 兩個活動共享相同的管理基礎設施，顯示這是一個協調良好的多維度攻擊計畫。

GhostCall 與 GhostHire 雙管齊下的加密貨幣騙局

GhostCall 和 GhostHire 代表了加密貨幣騙局的新階段，兩者針對不同目標但採用相似的社交工程技術。

GhostCall：針對 Web3 高層的投資者騙局

在 GhostCall 中，這些北韓加密貨幣駭客將 Web3 高層作為目標，偽裝成潛在投資者。他們會研究目標的背景、公司情況和近期活動，然後發送高度個性化的投資提案或合作邀請。這些訊息通常聲稱代表知名創投基金或家族辦公室，並表示有興趣投資數百萬美元。

一旦目標回應，駭客會安排視訊會議，通常聲稱使用 Zoom 或 Microsoft Teams。然而，他們會發送一個「更新版本」或「安全版本」的會議軟體連結，聲稱這是為了保護商業機密或符合合規要求。這個軟體實際上是克隆版，內嵌惡意代碼。

GhostHire：針對區塊鏈工程師的招募陷阱

另一方面，GhostHire 則以誘人的工作機會吸引區塊鏈工程師。駭客會假扮成知名加密貨幣公司或新創項目的招募人員，提供遠超市場行情的薪資和股權激勵。為了「測試」候選人的技能，他們會要求完成一個程式設計挑戰或技術任務。

這個任務通常涉及下載一個 GitHub 儲存庫或專門的開發環境。然而，這些文件中包含惡意軟體，一旦執行就會感染系統。卡巴斯基指出，這些駭客已經開始關注加密貨幣開發者偏好的作業系統，特別是 macOS 和 Linux，並針對性地開發惡意軟體變種。

這兩種加密貨幣騙局有一個共同的缺陷：受害者必須真正與可疑軟體互動。這損害了先前詐騙的成功率，因為越來越多的安全意識高的專業人士會拒絕下載來歷不明的軟體。然而，這些北韓駭客找到了一種新方法來重新利用失去的機會，這正是當前威脅升級的關鍵。

AI 深偽技術讓失敗變成新武器

GhostCall 和 GhostHire 之間的加強協作使駭客能夠改進他們的社交工程技術，這是當前加密貨幣騙局最危險的演進。除了 AI 生成的內容外，他們還可以利用被駭的真實企業家帳號或真實視訊通話片段，使他們的騙局更具可信度。

具體運作方式如下：當一個加密貨幣高層切斷與可疑招募人員或投資者的聯繫後，駭客不會簡單放棄。相反，他們會記錄整個互動過程，包括視訊通話中的任何畫面、語音片段和背景環境。即使這次騙局失敗，這些素材也成為攻擊下一個受害者的武器。

利用人工智慧，駭客可以合成新的「對話」，以驚人的真實感模仿人的語氣、手勢和周圍環境。例如：

深偽視訊合成：駭客可以使用 AI 工具將失敗騙局中獲得的 30 秒真實視訊，合成為一段 5 分鐘的「投資說明會」或「技術面試」，其中受害者的臉部表情和嘴唇動作完美同步偽造的語音。

語音克隆：即使只有幾秒鐘的語音樣本，現代 AI 工具也能生成幾乎無法分辨真偽的語音克隆。駭客可以讓「受害者」在新的騙局中「推薦」某個投資機會或招募流程。

身份疊加：更複雜的是，駭客會將多個失敗騙局的素材組合，創造出一個完整的虛假生態系統。例如，他們可能讓「A 投資人」在視訊中提到「B 創辦人」，而兩者都是先前騙局的受害者。

這有多危險，可想而知。一位加密貨幣專案創辦人可能因為警覺性高而躲過一次攻擊，卻發現自己的形象在幾週後被用來欺騙其他創辦人或投資者。更糟的是，這些深偽內容可能在社群媒體或專業網絡上傳播，損害受害者的聲譽。

實際攻擊鏈與防禦建議

無論目標是誰，實際的加密貨幣騙局攻擊鏈都遵循類似模式：

階段一：研究與接觸

駭客在 LinkedIn、Twitter 和加密貨幣論壇上研究目標，收集個人和專業資訊，然後發送高度個性化的初始訊息。

階段二：建立信任

透過多次溝通和視訊通話（可能使用深偽技術）建立信任關係，讓目標放鬆警戒。

階段三：誘導下載

以合理的理由（測試、合規、保密）要求目標下載特定軟體或文件。

階段四：系統滲透

一旦惡意軟體執行，駭客獲得系統訪問權，竊取私鑰、種子短語或直接轉移資產。

階段五：素材收集

即使攻擊失敗，駭客也會收集互動過程中的所有視訊、語音和資訊，用於未來攻擊。

關鍵防禦措施

嚴格驗證身份：透過多個獨立管道確認對方身份，不要僅依賴單一聯繫方式。

拒絕非標準軟體：堅持使用官方下載的 Zoom、Teams 等工具，拒絕任何「特殊版本」。

隔離測試環境：如果必須測試代碼或文件，使用虛擬機或沙盒環境，永不在主系統執行。

警惕高壓戰術：任何製造緊迫感、要求快速決策或聲稱「僅此一次機會」的情況都應高度懷疑。

硬體錢包與多重簽名：確保私鑰存儲在硬體錢包中，重要資產使用多重簽名保護。

即使這些加密貨幣騙局失敗，潛在的損害仍然巨大。任何在異常或高壓情況下被接觸的人都應該保持警惕，切勿下載不熟悉的軟體或接受不合適的請求。北韓 Lazarus Group 的持續演進顯示，加密貨幣安全已經不僅僅是技術問題，更是一場對抗國家級攻擊者的長期戰爭。