北韓國家資助的駭客組織Kimsuky利用ChatGPT等生成式AI工具，製作南韓軍事身分證件的深度偽造圖像，用於社會工程攻擊，誘騙目標點擊惡意連結，竊取資料。韓國資安公司Genians於9月15日發布分析報告，指出此攻擊針對南韓國防相關機構、記者、研究員及人權活動家，偽裝成要求審核「身分證件草稿」的釣魚郵件。專家警告，此手法不僅提升攻擊說服力，還凸顯AI濫用在網路間諜的風險，台灣作為地緣政治敏感地區，需加強AI生成內容驗證及員工防釣魚訓練，防範類似威脅。

 

 

Genians Security Center（GSC）報告顯示，此攻擊於2025年7月17日發生，Kimsuky偽裝成南韓國防機構，發送信件要求收件人審核軍事附屬官員的「樣本身分證件設計」。郵件未附實圖像，而是連結下載包含惡意軟體的ZIP檔案，內含LNK檔案，一旦開啟即可入侵系統，竊取資料。偽造軍ID圖像的元數據顯示為AI生成，攻擊者透過提示工程（prompt engineering）繞過ChatGPT的限制，將請求描述為「樣本設計」或「模擬圖像」，而非真實軍ID複製。Genians發言人告訴Dark Reading：「這不僅是視覺欺騙，更是提升社會工程效果，使用與收件人工作相關的圖像，大幅增加互動機率。」

 

 

Kimsuky（又名Thallium、Black Banshee）為北韓國家安全保衛省（MSS）資助的APT群組，自2012年起活躍，專注全球情報蒐集，目標包括南韓軍事、政府、智庫及核相關機構。美國國土安全部2020年公告指，Kimsuky「最可能受北韓政權指派執行全球情報任務」。Genians透過IP地址、惡意軟體指標及北韓國家群組關聯，確認攻擊歸屬Kimsuky。此組織過去攻擊包括韓國水力及核電公司、聯合國及多國智庫。Bloomberg報導，Kimsuky利用ChatGPT生成深度偽造ID，標誌其戰術轉變，從傳統釣魚轉向AI輔助偽造，提升攻擊精準度。

 

 

此攻擊僅為AI濫用在北韓駭客行動的冰山一角。Recorded Future威脅情報分析師Mitch Haszard指出，北韓群組PurpleDelta及PurpleBravo（Recorded Future對北韓IT工人行動的命名）廣泛使用AI生成程式碼、修改文件、修正英文及翻譯文字至韓文，用於假冒IT工人滲透西方企業。PurpleDelta使用多種AI工具輔助詐欺工作，PurpleBravo則生成招募者圖像，針對加密貨幣產業軟體開發者發假工作機會。Anthropic於8月底報告發現，一威脅行為者建立合成身分服務，利用Claude Code LLM輪換信用卡驗證服務及限流請求，避免偵測。OpenAI同月報告顯示，駭客群組濫用ChatGPT進行進攻操作，包括生成假文件及程式碼混淆。

 

 

偽造身分文件已成釣魚及社會工程常見手法，北韓群組頻用於IT工人偽裝行動，嵌入西方公司竊取情報或資金，規避國際制裁並資助核武開發。Trellix威脅情報主管John Fokker表示，軍ID不僅增添權威，還針對目標客製化：「不同誘餌可達成攻擊，但軍ID提供權威感。」Trend Micro資深威脅研究員Stephen Hilt指出，AI強化假身分已成趨勢：「我們雖未見此特定『深度偽造軍ID』誘餌，但符合這些群組的演進欺騙。我們記錄其使用AI強化攻擊人格。假ID授權請求、提供開啟檔案理由，並作為惡意載入器執行的幌子。」TechRadar報導，Kimsuky曾針對全球政策、學術及核實體攻擊，此次利用ChatGPT繞過AI安全限制，生成非法內容如深度偽造ID。

 

 

攻擊依賴社會工程：受害者須點擊郵件連結，下載ZIP並開啟LNK檔案，方可入侵。郵件主題聚焦敏感議題，如北韓研究、國防、政治及社會問題，包括北韓經濟報告及南韓尹錫悅政府去年戒嚴危機調查報告。郵件來自假域名如「.mli.kr」，模仿南韓軍方「.mil.kr」官方地址。Genians指出：「這些攻擊以吸引及欺騙目標為特色，聚焦北韓研究、國防及政治社會議題。」The Defense Post報導，Kimsuky透過此手法針對南韓軍事機構及公民團體，郵件偽裝成ID發行任務。

 

 

台灣資安專家分析，此攻擊對兩岸及亞太地區威脅重大。台灣作為民主國家，常遭北韓APT間諜及中國駭客聯合行動。行政院國家資通安全會報表示，將監測Kimsuky相關AI濫用活動，呼籲企業及機構加強郵件過濾、AI生成內容驗證，並教育員工辨識深度偽造。趨勢科技台灣區總經理洪偉淦受訪時指出：「Kimsuky利用ChatGPT提升釣魚說服力，台灣國防及智庫易成目標。應部署AI偵測工具，檢查圖像元數據，並實施零信任架構。」他建議，使用水印驗證AI內容、定期紅隊測試社會工程，並與韓美資安單位共享IOC，防範類似深度偽造ID攻擊導致資料外洩或間諜滲透。

 

 

此事件與近期資安趨勢呼應，如FBI警告UNC6040及UNC6395攻擊Salesforce用戶、中國Salt Typhoon曝光45域名進行間諜活動，顯示國家級APT利用AI轉向精準社會工程。Genians呼籲，組織應監控郵件主題及附件，驗證發件人域名，並使用沙箱分析可疑檔案。台灣政府可推動AI資安法規，強制平台強化生成內容標記。用戶防範之道包括：不點擊不明連結、檢查圖像真實性、使用MFA及反病毒軟體。隨著AI普及，深度偽造攻擊料將頻發，兩岸需合作強化防禦，確保數位安全。