【安全圈】朝鮮黑客2025年竊取20.2億美元加密貨幣，占全球總量近六成

關(guān)鍵詞

黑客

與朝鮮民主主義人民共和國（DPRK）有關(guān)聯(lián)的黑客組織成為2025年全球加密貨幣盜竊激增的主要推手。數(shù)據(jù)顯示，從1月初至12月初，全球被盜加密貨幣總額超過34億美元，其中至少有20.2億美元與朝鮮黑客有關(guān)。

區(qū)塊鏈分析公司Chainalysis向《黑客新聞》提供的加密貨幣犯罪報告顯示，這一數(shù)字較2024年同比增長51%，比朝鮮黑客2024年竊取的13億美元高出6.81億美元。該公司指出："就涉案金額而言，2025年成為有記錄以來朝鮮加密貨幣盜竊最嚴重的一年，其攻擊事件占所有服務(wù)入侵事件的76%，同樣創(chuàng)下歷史新高。總體來看，2025年的數(shù)據(jù)使朝鮮竊取加密貨幣資金的累計最低估值達到67.5億美元。"

僅2月份加密貨幣交易所Bybit遭入侵一案，就導致朝鮮黑客竊取的20.2億美元中有15億美元損失。該攻擊被歸因于名為TraderTraitor（又稱Jade Sleet和Slow Pisces）的黑客組織。Hudson Rock本月早些時候發(fā)布的分析報告顯示，基于"trevorgreer9312@gmail[.]com"郵箱地址的存在，一臺感染Lumma竊密程序的機器與Bybit黑客攻擊相關(guān)基礎(chǔ)設(shè)施存在關(guān)聯(lián)。

這些加密貨幣盜竊事件是朝鮮支持的黑客組織Lazarus Group過去十年來實施的一系列廣泛攻擊的一部分。該組織還被認為與上月韓國最大加密貨幣交易所Upbit價值3600萬美元的加密貨幣失竊案有關(guān)。Lazarus Group隸屬于朝鮮偵察總局（RGB），據(jù)估計在2020年至2023年間從超過25起加密貨幣盜竊案中竊取不少于2億美元。

雙重攻擊策略：惡意軟件與IT滲透

Lazarus Group是最活躍的黑客組織之一，其長期實施的"夢想工作行動"（Operation Dream Job）已形成固定模式：通過LinkedIn或WhatsApp聯(lián)系國防、制造、化工、航空航天和技術(shù)等領(lǐng)域的潛在雇員，以高薪工作機會為誘餌，誘騙他們下載并運行BURNBOOK、MISTPEN和BADCALL等惡意軟件（后者還提供Linux版本）。這些行動最終目標具有雙重性：收集敏感數(shù)據(jù)并為朝鮮政權(quán)創(chuàng)造違反國際制裁的非法收入。

朝鮮黑客采用的第二種策略是以虛假身份將信息技術(shù)（IT）人員安插進全球各公司，這些人員或以個人身份滲透，或通過DredSoftLabs和Metamint Studio等為此目的設(shè)立的空殼公司進行活動。該策略還包括獲取加密貨幣服務(wù)的特權(quán)訪問權(quán)限以實現(xiàn)高影響力入侵。這種欺詐性操作被稱為"Wagemole"。

Chainalysis表示："這一創(chuàng)紀錄年份的部分原因可能反映出朝鮮黑客加大了對交易所、托管機構(gòu)和Web3公司IT人員滲透的依賴，這可以加速大規(guī)模盜竊前的初始訪問和橫向移動。"

結(jié)構(gòu)化洗錢流程

被盜資金隨后通過中文資金流動和擔保服務(wù)、跨鏈橋、混幣器以及Huione等專業(yè)市場進行洗錢。更值得注意的是，被盜資產(chǎn)遵循一個結(jié)構(gòu)化的多波次洗錢路徑，該過程在黑客攻擊后約45天內(nèi)完成：

• 第一波：即時分層（0-5天）

  ：利用DeFi協(xié)議和混幣服務(wù)立即將資金與盜竊來源分離

• 第二波：初步整合（6-10天）

  ：將資金轉(zhuǎn)移到加密貨幣交易所、二級混幣服務(wù)和XMRt等跨鏈橋

• 第三波：最終整合（20-45天）

  ：使用促進最終轉(zhuǎn)換為法定貨幣或其他資產(chǎn)的服務(wù)

該公司指出："朝鮮黑客大量使用專業(yè)的中文洗錢服務(wù)和場外交易（OTC）交易商，表明他們與亞太地區(qū)的非法行為者緊密融合，這與平壤歷史上利用中國網(wǎng)絡(luò)進入國際金融體系的做法一致。"

IT滲透案主犯獲刑

美國司法部（DoJ）披露，40歲的馬里蘭州居民Minh Phuong Ngoc Vong因參與IT人員滲透計劃被判15個月監(jiān)禁。他允許居住在中國沈陽的朝鮮公民使用其身份在多家美國政府機構(gòu)獲得工作。2021年至2024年間，Vong通過虛假陳述在至少13家美國公司獲得就業(yè)機會，包括獲得美國聯(lián)邦航空管理局（FAA）的合同。Vong共獲得超過97萬美元的軟件開發(fā)服務(wù)薪酬，而實際工作由海外共謀者完成。

美國司法部表示："Vong與其他人共謀，包括化名William James、居住在中國沈陽的外國人John Doe，欺騙美國公司雇傭Vong作為遠程軟件開發(fā)人員。在通過對其教育、培訓和經(jīng)驗的實質(zhì)性虛假陳述獲得這些工作后，Vong允許Doe等人使用他的計算機訪問憑證來執(zhí)行遠程軟件開發(fā)工作并收取報酬。"

IT人員滲透計劃似乎正在經(jīng)歷戰(zhàn)略轉(zhuǎn)變，與朝鮮有關(guān)聯(lián)的行為者越來越多地充當招聘人員，通過Upwork和Freelancer等平臺招募合作者以擴大行動規(guī)模。安全聯(lián)盟在上月發(fā)布的報告中指出："這些招聘人員使用腳本化的說辭接近目標，要求'合作者'幫助投標和交付項目。他們提供賬戶注冊、身份驗證和憑證共享的逐步指導。在許多情況下，受害者最終會完全放棄對其自由職業(yè)賬戶的訪問權(quán)限，或安裝AnyDesk或Chrome Remote Desktop等遠程訪問工具。這使得威脅行為者能夠在受害者驗證的身份和IP地址下操作，繞過平臺驗證控制并進行未被發(fā)現(xiàn)的非法活動。"

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！