越南的黑客组织UNC6032一直在利用通过虚假的 AI Video Generator 网站分发恶意软件

该恶意活动至少早在 2024 年年中就开始了，它利用对 AI 工具的兴趣，尤其是 AI 驱动的视频生成服务，分发恶意软件，从而导致部署基于 Python 的信息窃取程序和多个后门等有效载荷。

该活动被归属于一个被跟踪为 UNC6032 的黑客组织，谷歌威胁情报组 （GTIG）分析 评估后得出结论: UNC6032 是越南的1个黑客组织。

本报告的调查结果与 5 月 8 日关于 Noodlophile Stealer 的 Morphisec 报告一致，Noodlophile Stealer 是一种新发现的可能源自越南的信息窃取程序。

UNC6032的典型感染链
在 Mandiant 发现的活动中，UNC6032利用虚假的“AI 视频生成器”网站来分发恶意软件。

以下是典型的感染链：

受害者通过 Facebook 上的恶意社交媒体广告（来自攻击者创建的 Facebook 页面或受感染的 Facebook 帐户）和 LinkedIn 被引导至虚假网站，这些广告伪装成合法的 AI 视频生成器工具，如 Luma AI、Canva Dream Lab 和 Kling AI 等
一旦他们点击其中一个恶意广告，他们就会被定向到提供据称功能的虚假网站，例如文本到视频或图像到视频生成
一旦用户提供生成视频的提示，无论输入如何，网站都将提供托管在相同（或相关）基础设施上的静态负载之一
有效载荷包括 STARKVEIL dropper，它部署 XWORM 和 FROSTRIFT 后门，以及 GRIMPULL 下载器.






UNC6032 的营销活动概述
Mandiant 已经确定了数千个UNC6032链接广告中提到的 30 多个不同的网站，这些广告总共覆盖了数百万用户。大多数广告是在 Facebook 上找到的，少数是在 LinkedIn 上找到的。





然后，研究人员对 120 多个恶意 Facebook 广告的样本进行了进一步分析，揭示了欧盟国家/地区的总用户覆盖率超过 230 万。

“应该注意的是，覆盖率并不等同于受害者的数量。根据 Meta 的说法，广告的覆盖面是估计有多少帐户中心帐户至少看过该广告一次，“Mandiant 报告指出。

通常，UNC6032 会不断轮换 Facebook 广告中提到的域，以避免被发现和帐户被禁止。

“我们注意到，一旦域名被注册，它将在几天内（如果不是同一天）在广告中被引用。此外，大多数广告都是短暂的，每天都会制作新的广告，“研究人员补充道。

在 LinkedIn 上，他们发现了大约 10 个恶意广告，总展示量估计为 50,000 到 250,000 次——美国观众占大多数，其次是欧洲和澳大利亚的用户。每个广告都将用户引导至 hxxps://klingxai[.]com，该域名于 2024 年 9 月 19 日注册。第一个恶意 LinkedIn 广告在一天后出现。

“我们怀疑类似的活动在其他平台上也很活跃，因为网络犯罪分子一直在发展策略来逃避检测并瞄准多个平台以增加成功的机会，”研究人员补充说。

UNC6032 的 Resilience 与 Multi-Payload 机制
对于所有这些广告，下载的有效载荷是 STARKVEIL 恶意软件，它通常会丢弃三个不同的模块化恶意软件系列（XWORM 和 FROSTRIFT 后门以及 GRIMPULL 下载器），主要用于信息盗窃，并能够下载插件以扩展其功能。

Morphisec 还检测到 XWORM 与 Noodlophile Stealer 一起作为分布式有效载荷之一。

Google Cloud 报告提供了对 STARKVEIL、XWORM、FROSTRIFT 和 GRIMPULL 的恶意软件分析，以及有关它们如何与 UNC6032 的命令和控制 （C2） 基础架构通信的详细信息。

Mandiant 评估认为，存在多个相似的有效载荷表明存在故障安全机制，即使安全防御检测到或阻止了某些有效载荷，攻击也会持续存在。

“尽管我们的调查范围有限，但我们发现精心设计的虚假'AI 网站'对组织和个人用户都构成了重大威胁。这些 AI 工具不再仅针对平面设计师;任何人都可以被看似无害的广告引诱，“Mandiant 研究人员总结道。

“尝试最新 AI 工具的诱惑可能导致任何人成为受害者。我们建议用户在使用 AI 工具时谨慎行事，并验证网站域的合法性。