29 岁黑客制作恶意软件被捕：伪装成 Win11 激活工具 KMSAuto 三年窃取约 17 亿韩元

科技媒体 bleepingcomputer 昨日（12 月 29 日）发布博文，报道称韩国警方近日成功引渡并逮捕了一名 29 岁的立陶宛籍黑客。该嫌疑人利用伪装成知名 Windows 激活工具“KMSAuto”的恶意软件，在全球范围内感染了约 280 万台设备。

此次逮捕行动由韩国警方主导，并在国际刑警组织的协调下完成，经过长达数年的跨国追踪，成功从格鲁吉亚引渡并逮捕了一名 29 岁的立陶宛籍网络犯罪嫌疑人。

IT人援引博文介绍，嫌疑人的核心作案手段是利用广受欢迎的 Windows 和 Office 非法激活工具“KMSAuto”作为诱饵，在该工具中植入了名为“Clipper”的恶意程序。

当受害者下载并运行该工具后，病毒会潜伏在后台实时监控系统的剪贴板。一旦检测到用户复制了加密货币钱包地址，病毒便会瞬间将其替换为黑客控制的地址。由于加密货币地址通常由冗长的随机字符组成，用户往往难以察觉地址已被篡改，从而在转账时将资金直接汇入黑客的口袋。

警方统计数据显示，从 2020 年 4 月至 2023 年 1 月，该恶意软件在全球范围内被下载传播了 280 万次。通过这种隐蔽的“偷梁换柱”手法，黑客成功实施了 8400 次欺诈交易，从 3100 个受害者的钱包中窃取了价值约 17 亿韩元（IT人注：现汇率约合 823 万元（R-M-B））的虚拟资产。

韩国警方于 2020 年 8 月接到关于“加密劫持”的报案后正式启动调查。通过追踪被盗资金流向并对恶意软件样本进行逆向分析，调查人员最终锁定了犯罪嫌疑人。

警方于 2024 年 12 月在立陶宛对嫌疑人的住所进行了突击搜查，扣押了包括笔记本电脑和手机在内的 22 项涉案物品，并从中提取了关键定罪证据。随后，该嫌疑人于 2025 年 4 月在从立陶宛前往格鲁吉亚的途中被正式逮捕。