文章总结： 韩国警方联合国际刑警组织在格鲁吉亚逮捕一名29岁立陶宛籍黑客。该黑客通过植入Clipper恶意程序的Windows激活工具KMSAuto感染约280万台设备，监控剪贴板篡改加密货币钱包地址，致使3100名受害者损失约823万元人民币。警方经多年资金流追踪与逆向分析成功定罪，提醒用户警惕非法激活工具风险。 综合评分： 73 文章分类： 威胁情报,恶意软件,安全意识,安全大事件

29 岁黑客制作恶意软件被捕：伪装成 Win11 激活工具 KMSAuto

安世加

安世加

2025年12月30日 19:00 江苏

新闻

News Today

科技媒体 bleepingcomputer 昨日（12 月 29 日）发布博文，报道称韩国警方近日成功引渡并逮捕了一名 29 岁的立陶宛籍黑客。该嫌疑人利用伪装成知名 Windows 激活工具“KMSAuto”的恶意软件，在全球范围内感染了约 280 万台设备。

此次逮捕行动由韩国警方主导，并在国际刑警组织的协调下完成，经过长达数年的跨国追踪，成功从格鲁吉亚引渡并逮捕了一名 29 岁的立陶宛籍网络犯罪嫌疑人。

嫌疑人的核心作案手段是利用广受欢迎的 Windows 和 Office 非法激活工具“KMSAuto”作为诱饵，在该工具中植入了名为“Clipper”的恶意程序。

当受害者下载并运行该工具后，病毒会潜伏在后台实时监控系统的剪贴板。一旦检测到用户复制了加密货币钱包地址，病毒便会瞬间将其替换为黑客控制的地址。由于加密货币地址通常由冗长的随机字符组成，用户往往难以察觉地址已被篡改，从而在转账时将资金直接汇入黑客的口袋。

警方统计数据显示，从 2020 年 4 月至 2023 年 1 月，该恶意软件在全球范围内被下载传播了 280 万次。通过这种隐蔽的“偷梁换柱”手法，黑客成功实施了 8400 次欺诈交易，从 3100 个受害者的钱包中窃取了价值约 17 亿韩元（注：现汇率约合 823 万元人民币）的虚拟资产。

韩国警方于 2020 年 8 月接到关于“加密劫持”的报案后正式启动调查。通过追踪被盗资金流向并对恶意软件样本进行逆向分析，调查人员最终锁定了犯罪嫌疑人。

警方于 2024 年 12 月在立陶宛对嫌疑人的住所进行了突击搜查，扣押了包括笔记本电脑和手机在内的 22 项涉案物品，并从中提取了关键定罪证据。随后，该嫌疑人于 2025 年 4 月在从立陶宛前往格鲁吉亚的途中被正式逮捕。

本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安世加的观点，若有无意侵权或转载不当之处请联系我们处理！

文章转自：　IT之家

安世加为出海企业提供SOC 2、ISO27001、PCI DSS、TrustE认证咨询服务（点击图片可详细查看）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安世加 安世加《29 岁黑客制作恶意软件被捕：伪装成 Win11 激活工具 KMSAuto》