朝鲜网络犯罪分子在其社交工程活动中实施了复杂的策略变化,通过在虚假视频中冒充可信赖的行业人物,成功窃取了 3 亿多美元。
MetaMask安全研究员泰勒-莫纳汉(Taylor Monahan,又称 Tayvano)详细介绍了这一警报,概述了针对加密货币高管的复杂 "长骗局"(long-con)。
诱饵:被劫持的Telegram账户与虚假联系人
根据莫纳汉的说法,该活动与最近依靠人工智能进行的深度伪造攻击不同。
朝鲜威胁行为者仍在通过他们在 Zoom/Teams 上的虚假会议欺骗你们中的许多人,"他said Monahan on X
🚨 WARNING (AGAIN)
- Tay 💖 (@tayvano_) December 13, 2025
The DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.
They're taking over your Telegrams -> using them to rekt all your friends.
They've stolen over $300m via this method already.
Read this.停止这种循环。🙏 pic.twitter.com/tJTo9lkq0v
攻击通常在黑客获得受信任的 Telegram 帐户控制权后开始,该帐户通常属于风险资本家或受害者之前在会议上遇到的人。然后,攻击者利用以前的聊天历史记录使其看起来合法,通过伪装的 Calendar 链接引导受害者在 Zoom 或 Microsoft Teams 上进行视频通话。
铺垫:循环利用的视频与伪造的技术故障
一旦会议开始,受害者就会查看其联系人的 feed 实时视频。
决定性时刻通常出现在模拟的技术问题之后。在提出音频或视频问题后,攻击者会敦促受害者通过下载特定脚本或更新软件开发工具包 (SDK) 来重建连接。
最后一击和 RAT 的作用
一旦安装,恶意软件(通常是远程访问木马 (RAT))将使攻击者完全控制整个系统。RAT 会耗尽加密货币钱包并渗出敏感数据,包括内部安全协议和 Telegram 会话令牌,然后用于攻击网络中的下一个受害者。
Monahan 警告说,这种特定的载体 "将职业礼仪武器化"。黑客利用 "商务会议 "的心理压力迫使用户做出错误判断,从而将故障排除请求例程变成致命的安全漏洞。对于行业参与者来说,在通话过程中下载软件的任何请求现在都被视为主动攻击信号。
这种 "虚假会议 "策略是朝鲜行为者更广泛攻势的一部分,他们在过去一年中从行业中侵吞了约 20 亿美元,其中包括 Bybit 漏洞。
