GSC警告称，朝鲜的Kimsuky黑客在新的网络钓鱼活动中使用人工智能生成的假军人身份证，这标志着ClickFix策略的转变。

臭名昭著的朝鲜黑客组织“金须基”（Kimsuky）目前正在使用人工智能(AI)工具伪造军人身份证，实施其最新的网络钓鱼活动。网络安全公司Genians Security Center(GSC)表示，这是该组织过去使用ClickFix攻击手段的新举措，该手段此前曾通过向受害者展示虚假的安全弹窗，诱骗他们运行恶意命令。

这种新方法首次被发现是在2025年7月，当时攻击者发送了看似来自韩国合法国防机构的电子邮件。这些邮件旨在吸引注意力，通常伪装成有关军人新身份证的信息。

诱饵是一个ZIP文件，里面装着看起来像是真实军人身份证的草稿。但有一个陷阱：身份证上那张令人信服的照片并非真品。它是AI生成的深度伪造作品，伪造率接近98%，使用了ChatGPT等广泛使用的AI工具制作。

如果毫无戒心的人打开该文件，真正的攻击就开始了。一个隐藏的恶意程序会立即在后台运行。为了避免被发现，它会等待几秒钟，然后秘密下载一个LhUdPC3G.bat来自远程服务器的恶意文件jiwooeng.co.kr。

黑客随后使用批处理文件和AutoIt脚本，安装了一个名为HncAutoUpdateTaskMachine的恶意任务，每七分钟运行一次，伪装成Hancom Office的更新。研究人员指出，黑客在其他攻击中也使用过类似的策略，代码中会出现“Start_juice”和“Eextract_juice”等明显的字符串。

这次深度伪造军人身份证活动表明，Kimsuky组织不断改变其策略，使用更具社会工程学意义的诱饵，通过让受害者运行一系列危害其计算机的脚本来实现同一目标。

这并非该组织首次将人工智能用于恶意目的。2025年6月，OpenAI报告称，朝鲜威胁行为者利用人工智能创建虚假身份，以通过技术工作面试。来自中国、俄罗斯和伊朗的黑客也滥用人工智能工具（尤其是ChatGPT）进行类似活动。

最终，这场最新的攻击活动凸显了对更高级安全措施的需求。GSC表示，端点检测和响应(EDR)等系统对于检测和抵御此类依赖混淆脚本隐藏恶意活动的攻击至关重要。