加密货币骗局升级！北韩 Lazarus 用 AI 深伪 Zoom 盗走数亿美元

北韩加密骇客正在完善一种常见的加密货币骗局。根据数位安全公司卡巴斯基的报告，北韩最令人恐惧的犯罪组织 Lazarus Group 的分支 BlueNoroff APT 正在使用两个名为 GhostCall 和 GhostHire 的新型活动，利用人工智慧和重复的视讯通话来提高可信度。

北韩 Lazarus Group 从求职者变身猎人

（来源：X）

北韩加密骇客已经成为全球威胁，但他们的渗透策略已经发生了重大变化。这些犯罪者过去只在 Web3 公司求职，试图透过成为内部员工来窃取资产或植入后门。然而，最近他们开始利用虚假的招募讯息传播恶意软体，从求职者转变为猎人。现在，他们的计划又在扩大，手法更加难以识别。

Lazarus Group 是北韩政府支持的骇客组织，被认为是全球最活跃和最成功的加密货币窃贼。根据联合国和区块链分析公司 Chainalysis 的估计，该组织自 2017 年以来已窃取超过 30 亿美元的加密货币资产。这些资金被用于资助北韩的核武器和飞弹计划，使其成为国际安全威胁。

过去，Lazarus 的手法相对粗糙。他们会大量发送钓鱼邮件，附带受感染的文件，希望有人点击。或者他们会在 LinkedIn 等职业社交平台上假扮求职者,试图进入加密货币公司内部。这些方法虽然有时成功，但成功率并不高，因为许多公司已经建立了相应的防御机制。

然而，BlueNoroff APT 作为 Lazarus Group 的一个专门针对金融机构和加密货币公司的分支，正在展现出更高的专业性和适应性。卡巴斯基的研究人员发现，GhostCall 和 GhostHire 两个活动共享相同的管理基础设施，显示这是一个协调良好的多维度攻击计划。

GhostCall 与 GhostHire 双管齐下的加密货币骗局

GhostCall 和 GhostHire 代表了加密货币骗局的新阶段，两者针对不同目标但采用相似的社交工程技术。

GhostCall：针对 Web3 高层的投资者骗局

在 GhostCall 中，这些北韩加密货币骇客将 Web3 高层作为目标，伪装成潜在投资者。他们会研究目标的背景、公司情况和近期活动，然后发送高度个性化的投资提案或合作邀请。这些讯息通常声称代表知名创投基金或家族办公室，并表示有兴趣投资数百万美元。

一旦目标回应，骇客会安排视讯会议，通常声称使用 Zoom 或 Microsoft Teams。然而，他们会发送一个「更新版本」或「安全版本」的会议软体连结，声称这是为了保护商业机密或符合合规要求。这个软体实际上是克隆版，内嵌恶意代码。

GhostHire：针对区块链工程师的招募陷阱

另一方面，GhostHire 则以诱人的工作机会吸引区块链工程师。骇客会假扮成知名加密货币公司或新创项目的招募人员，提供远超市场行情的薪资和股权激励。为了「测试」候选人的技能，他们会要求完成一个程式设计挑战或技术任务。

这个任务通常涉及下载一个 GitHub 储存库或专门的开发环境。然而，这些文件中包含恶意软体，一旦执行就会感染系统。卡巴斯基指出，这些骇客已经开始关注加密货币开发者偏好的作业系统，特别是 macOS 和 Linux，并针对性地开发恶意软体变种。

这两种加密货币骗局有一个共同的缺陷：受害者必须真正与可疑软体互动。这损害了先前诈骗的成功率，因为越来越多的安全意识高的专业人士会拒绝下载来历不明的软体。然而，这些北韩骇客找到了一种新方法来重新利用失去的机会，这正是当前威胁升级的关键。

AI 深伪技术让失败变成新武器

GhostCall 和 GhostHire 之间的加强协作使骇客能够改进他们的社交工程技术，这是当前加密货币骗局最危险的演进。除了 AI 生成的内容外，他们还可以利用被骇的真实企业家帐号或真实视讯通话片段，使他们的骗局更具可信度。

具体运作方式如下：当一个加密货币高层切断与可疑招募人员或投资者的联系后，骇客不会简单放弃。相反，他们会记录整个互动过程，包括视讯通话中的任何画面、语音片段和背景环境。即使这次骗局失败，这些素材也成为攻击下一个受害者的武器。

利用人工智慧，骇客可以合成新的「对话」，以惊人的真实感模仿人的语气、手势和周围环境。例如：

深伪视讯合成：骇客可以使用 AI 工具将失败骗局中获得的 30 秒真实视讯，合成为一段 5 分钟的「投资说明会」或「技术面试」，其中受害者的脸部表情和嘴唇动作完美同步伪造的语音。

语音克隆：即使只有几秒钟的语音样本，现代 AI 工具也能生成几乎无法分辨真伪的语音克隆。骇客可以让「受害者」在新的骗局中「推荐」某个投资机会或招募流程。

身份叠加：更复杂的是，骇客会将多个失败骗局的素材组合，创造出一个完整的虚假生态系统。例如，他们可能让「A 投资人」在视讯中提到「B 创办人」，而两者都是先前骗局的受害者。

这有多危险，可想而知。一位加密货币专案创办人可能因为警觉性高而躲过一次攻击，却发现自己的形象在几周后被用来欺骗其他创办人或投资者。更糟的是，这些深伪内容可能在社群媒体或专业网络上传播，损害受害者的声誉。

实际攻击链与防御建议

无论目标是谁，实际的加密货币骗局攻击链都遵循类似模式：

阶段一：研究与接触

骇客在 LinkedIn、Twitter 和加密货币论坛上研究目标，收集个人和专业资讯，然后发送高度个性化的初始讯息。

阶段二：建立信任

透过多次沟通和视讯通话（可能使用深伪技术）建立信任关系，让目标放松警戒。

阶段三：诱导下载

以合理的理由（测试、合规、保密）要求目标下载特定软体或文件。

阶段四：系统渗透

一旦恶意软体执行，骇客获得系统访问权，窃取私钥、种子短语或直接转移资产。

阶段五：素材收集

即使攻击失败，骇客也会收集互动过程中的所有视讯、语音和资讯，用于未来攻击。

关键防御措施

严格验证身份：透过多个独立管道确认对方身份，不要仅依赖单一联系方式。

拒绝非标准软体：坚持使用官方下载的 Zoom、Teams 等工具，拒绝任何「特殊版本」。

隔离测试环境：如果必须测试代码或文件，使用虚拟机或沙盒环境，永不在主系统执行。

警惕高压战术：任何制造紧迫感、要求快速决策或声称「仅此一次机会」的情况都应高度怀疑。

硬体钱包与多重签名：确保私钥存储在硬体钱包中，重要资产使用多重签名保护。

即使这些加密货币骗局失败，潜在的损害仍然巨大。任何在异常或高压情况下被接触的人都应该保持警惕，切勿下载不熟悉的软体或接受不合适的请求。北韩 Lazarus Group 的持续演进显示，加密货币安全已经不仅仅是技术问题，更是一场对抗国家级攻击者的长期战争。