文章总结： 韩国警方引渡逮捕一名立陶宛黑客，该嫌疑人通过植入Clipper恶意软件的Windows激活工具，监控剪贴板并窃取加密货币，感染280万台设备涉案823万元。案件涉及跨国追踪与逆向分析，警示用户勿用非法工具。 综合评分： 80 文章分类： 恶意软件,安全大事件,网络安全,社会工程学

【安全圈】29岁黑客制作Win11激活工具，已感染280万设备

安全圈

2026年1月1日 09:31 江苏

关键词

恶意软件

事件概述

2025年12月，韩国警方成功引渡并逮捕了一名29岁的立陶宛籍黑客。该嫌疑人通过伪装成知名的Windows激活工具“KMSAuto”，在全球范围内感染了约280万台设备。此次逮捕行动由韩国警方主导，并在国际刑警组织的协调下完成，是跨国执法合作的一次重要成果。

作案手法

该黑客的主要作案手段是利用广受欢迎的Windows和Office非法激活工具“KMSAuto”作为诱饵，在该工具中植入了名为“Clipper”的恶意程序。具体工作原理如下：

1. 诱饵工具： 嫌疑人将“KMSAuto”这一合法且受欢迎的工具作为攻击入口，诱导用户下载和运行。
2. 恶意软件植入： 在工具中植入的“Clipper”恶意程序能够在后台实时监控用户的剪贴板内容。
3. 剪贴板监控与篡改： 当用户复制加密货币钱包地址时，“Clipper”会即时识别并将其替换为犯罪嫌疑人控制的地址。
4. 资金窃取： 用户在不知情的情况下将资金转入黑客钱包，从而完成资金窃取。

影响与后果

从2020年4月至2023年1月，该恶意软件在全球范围内被下载传播了280万次。通过隐蔽的“偷梁换柱”手法，犯罪嫌疑人成功实施了8400次欺诈交易，影响了3100名受害者，窃取了价值约17亿韩元（约合823万元人民币）的虚拟资产。

警方行动

1. 案件启动： 韩国警方于2020年8月接到关于“加密劫持”的报案后正式启动调查。
2. 调查手段：

• 追踪资金流向

  警方通过对被盗资金的追踪，锁定了犯罪嫌疑人的资金流向。

• 恶意软件逆向分析

  通过对恶意软件样本的逆向分析，提取出了关键的证据。

1. 跨国追踪： 警方进行了长达数年的跨国追踪，最终锁定了犯罪嫌疑人的身份和位置。
2. 突击搜查与逮捕：

• 警方于2024年12月在立陶宛对嫌疑人的住所进行了突击搜查，扣押了包括笔记本电脑和手机在内的22项涉案物品，并从中提取了关键定罪证据。
• 嫌疑人于2025年4月在从立陶宛前往格鲁吉亚的途中被正式逮捕，并在国际刑警组织的协调下成功引渡至韩国。

END

阅读推荐

【安全圈】蓝牙芯片供应链重大漏洞披露：数亿设备面临「耳机劫持」风险

【安全圈】欧洲航天局确认外部服务器遭入侵

【安全圈】攻击者伪造Jackson JSON库入侵Maven中央仓库

【安全圈】前网络安全专家监守自盗：利用勒索软件攻击美国企业并索要千万美元赎金，面临最高 20 年监禁

【安全圈】Xplora 儿童手表惊现“万能钥匙”漏洞，黑客可监听通话

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】29岁黑客制作Win11激活工具，已感染280万设备》