朝鮮網(wǎng)軍把惡意軟件拆成40個零件，西方追了10年才發(fā)現(xiàn)規(guī)律

2024年，某國防承包商的安全團隊清理完一波入侵痕跡后，在日志深處發(fā)現(xiàn)了更古老的殘留——同一批攻擊者三年前就進來過，只是從沒觸發(fā)過告警。這種"發(fā)現(xiàn)即滯后"的困境，正在全球數(shù)百個機構(gòu)重復上演。

DomainTools在2026年4月1日發(fā)布的報告揭示了一個被長期誤判的事實：朝鮮網(wǎng)絡(luò)項目并非混亂的"黑客作坊"，而是經(jīng)過十余年制裁壓力鍛造出的模塊化作戰(zhàn)體系。其工具鏈被刻意拆解為數(shù)十個獨立家族，每個只服務(wù)單一任務(wù)目標。當外界以為抓住了一條線索時，實際上只是碰上了某個可丟棄的零件。

從"瑞士軍刀"到"零件倉庫"

傳統(tǒng)認知中，國家級APT（高級持續(xù)性威脅）傾向于開發(fā)全能型工具——一套平臺覆蓋多種場景。朝鮮在2010年代初期確實走過這條路，但國際制裁的收緊改變了游戲規(guī)則。

聯(lián)合國安理會自2006年起對朝實施多輪制裁，2017年后更將網(wǎng)絡(luò)活動納入監(jiān)控范圍。美國司法部同期啟動對朝鮮黑客的刑事起訴，2018年起訴Park Jin Hyok、2021年起訴Jon Chang Hyok與Kim Il等個體，配合公開的技術(shù)溯源報告，迫使朝鮮運營商重新設(shè)計生存策略。

DomainTools分析師將這種演變定義為"任務(wù)對齊型架構(gòu)"：工具、基礎(chǔ)設(shè)施、操作人員按目標類型嚴格隔離。間諜活動、金融盜竊、破壞性攻擊三條軌道并行運轉(zhuǎn)，彼此不共享服務(wù)器、域名或通信協(xié)議。一條軌道暴露時，另外兩條不受影響。

這種設(shè)計的代價是冗余——三套團隊、三套供應(yīng)鏈、三套訓練體系。但收益是韌性。2019年聯(lián)合國專家小組估計朝鮮網(wǎng)絡(luò)行動為其帶來約20億美元收入；即便部分基礎(chǔ)設(shè)施被反復摧毀，資金鏈從未斷裂。

工具鏈被當作消耗品管理。開發(fā)周期壓縮，部署后快速迭代，發(fā)現(xiàn)即棄置。某惡意軟件家族的平均存活周期從2015年的18個月，降至2023年的4-6個月。這種"燒完就走"的節(jié)奏，讓依賴樣本分析的防御方始終慢半拍。

三條軌道，同一種入口

朝鮮網(wǎng)絡(luò)項目的三條任務(wù)線差異顯著，卻共享一個底層邏輯：所有入侵始于對人的欺騙。

間諜軌道歷史最久，與Kimsuky組織關(guān)聯(lián)緊密。目標鎖定政府部委、智庫、國防企業(yè)，追求長期潛伏而非速戰(zhàn)速決。攻擊者向特定專業(yè)人士發(fā)送定制化誘餌——偽造的政策文件、會議邀請、求職申請。文檔攜帶內(nèi)存駐留型后門，不在磁盤留下可取證痕跡；命令控制流量（C2）路由至可信云平臺，混入正常企業(yè)數(shù)據(jù)流。

某東南亞智庫研究員曾向Recorded Future描述：「他們發(fā)送的文檔標題精確對應(yīng)我當時正在撰寫的報告主題，發(fā)件人郵箱模仿了我合作過的某大學域名，只差一個字符?！惯@種精度意味著前期偵察投入遠超普通網(wǎng)絡(luò)犯罪。

金融盜竊軌道在2017年后急劇擴張。聯(lián)合國制裁切斷了朝鮮傳統(tǒng)外匯來源，加密貨幣成為替代渠道。攻擊者運營虛假交易平臺、發(fā)送釣魚鏈接、部署錢包竊取程序。Chainalysis追蹤的數(shù)據(jù)顯示，2022年朝鮮關(guān)聯(lián)地址竊取的加密貨幣價值約17億美元，2023年降至約10億美元——并非能力下滑，而是交易所防御升級與資產(chǎn)凍結(jié)機制生效。

破壞性攻擊軌道最為隱蔽，公開案例最少，但時機選擇極具政治意味。2014年索尼影業(yè)事件、2017年WannaCry蠕蟲、2022年針對韓國醫(yī)療機構(gòu)的勒索攻擊，均與半島緊張局勢節(jié)點吻合。該軌道的基礎(chǔ)設(shè)施與另外兩條完全隔離，甚至使用不同的代碼簽名證書和托管服務(wù)商。

三條軌道的攻擊載體清單高度重疊：武器化文檔、釣魚網(wǎng)站、木馬化軟件更新、虛假社交媒體身份。區(qū)別僅在于后續(xù)載荷和駐留策略。這種"前端統(tǒng)一、后端分離"的設(shè)計，讓同一批社工素材可以服務(wù)完全不同的戰(zhàn)略目標。

歸因困境：當證據(jù)指向40個方向

模塊化架構(gòu)最直接的后果，是溯源分析的失效。

傳統(tǒng)APT歸因依賴代碼相似性、基礎(chǔ)設(shè)施重疊、操作時間規(guī)律等指標。朝鮮項目刻意破壞這些關(guān)聯(lián)：不同任務(wù)線使用不同的開發(fā)環(huán)境、不同的第三方工具、不同的注冊商購買域名。甚至同一任務(wù)線內(nèi)部，相鄰兩次行動也可能更換全部技術(shù)指紋。

Mandiant（現(xiàn)Google Cloud旗下）分析師在2023年指出，他們追蹤的某朝鮮金融盜竊集群在6個月內(nèi)更換了5種不同的初始訪問工具、3種不同的持久化機制、以及7個不同的C2基礎(chǔ)設(shè)施提供商。樣本之間的代碼相似度低于15%，低于多數(shù)安全廠商設(shè)定的同源閾值。

DomainTools的研究方法試圖繞過這一障礙。他們不再聚焦單一惡意軟件家族，而是分析"獲取-部署-處置"的全生命周期模式：域名注冊偏好、證書申請節(jié)奏、托管服務(wù)商選擇、以及棄置前的行為特征。這些元數(shù)據(jù)比代碼更難偽造，也更能反映組織級決策習慣。

即便如此，分析師在報告中承認：「我們識別出的'紀律性'可能是另一種偽裝。無法排除朝鮮故意模仿成熟項目的運營特征，以誘導特定歸因結(jié)論?！?/p>

這種不確定性本身已成為戰(zhàn)略資產(chǎn)。2024年，某東歐國家金融機構(gòu)遭遇的入侵最初被歸因于朝鮮，三個月后新證據(jù)指向俄羅斯犯罪集團，最終發(fā)現(xiàn)是兩個獨立行動的時間重疊。防御資源的分散消耗，或許比任何單一攻擊更具破壞力。

制裁壓力的意外產(chǎn)物

朝鮮網(wǎng)絡(luò)項目的演變軌跡，與制裁強度呈現(xiàn)反常的正相關(guān)。

2009年至2016年，制裁框架初步建立，朝鮮網(wǎng)絡(luò)活動以間諜為主，工具相對集中。2017年聯(lián)合國第2371號決議全面禁止煤炭、鐵、海產(chǎn)品出口，網(wǎng)絡(luò)行動隨之多元化，金融盜竊占比躍升。2020年后制裁執(zhí)行趨嚴，加密貨幣追蹤技術(shù)成熟，模塊化架構(gòu)徹底成型。

這種適應(yīng)并非朝鮮獨有。伊朗網(wǎng)絡(luò)項目在2010年Stuxnet事件后同樣轉(zhuǎn)向分散化；俄羅斯APT29在2016年DNC事件曝光后重組為更小的單元。但朝鮮的極端程度罕見：其國土網(wǎng)絡(luò)基礎(chǔ)設(shè)施的孤立性，反而迫使運營商更早依賴海外跳板和商業(yè)云服務(wù)，客觀上加速了"去中心化"進程。

制裁還塑造了一個意外的人力市場。朝鮮IT工作者以虛假身份應(yīng)聘海外科技公司遠程崗位，薪資匯入國內(nèi)。美國國務(wù)院2023年估計，此類工作者約數(shù)千人，年收入合計數(shù)億美元。這些"日工"中部分具備網(wǎng)絡(luò)技能，其合法收入渠道與地下活動之間的界限模糊，為模塊化項目提供了可替換的人力儲備。

更隱蔽的影響在于技術(shù)獲取。制裁清單上的硬件和軟件無法直接采購，但模塊化設(shè)計降低了對特定工具的依賴。開源工具鏈、盜版開發(fā)環(huán)境、以及從被入侵機構(gòu)竊取的內(nèi)部工具，被拆解重組為新的載荷。某被分析的朝鮮惡意軟件樣本中，73%的代碼來自公開來源，僅27%為定制開發(fā)——比例與2015年完全相反。

防御方的認知滯后

安全行業(yè)的分析框架仍在適應(yīng)這種對手。

威脅情報產(chǎn)品通常按"行動者-工具-目標"三元組組織信息，假設(shè)三者之間存在穩(wěn)定映射。朝鮮項目的模塊化設(shè)計打破了這一假設(shè)：同一行動者使用不相關(guān)工具攻擊同類目標，或相同工具被不同行動者用于不同目的。

2023年，某大型安全廠商將新發(fā)現(xiàn)的惡意軟件家族歸類為"Lazarus Group變種"，六個月后DomainTools的元數(shù)據(jù)分析顯示其注冊模式、證書鏈與已知朝鮮集群不符，更可能指向某東南亞犯罪集團購買的服務(wù)。誤歸因?qū)е驴蛻魧⒎烙Y源投向錯誤方向。

更深層的問題在于時間尺度。模塊化項目的開發(fā)周期以周為單位，而威脅情報的生產(chǎn)周期以月為單位。當分析報告發(fā)布時，所述工具可能已被棄置，所述基礎(chǔ)設(shè)施已轉(zhuǎn)移用途。DomainTools建議轉(zhuǎn)向"行為模式"而非"技術(shù)指紋"的監(jiān)測，但行為模式的識別需要更長的觀察窗口和更高的數(shù)據(jù)權(quán)限，多數(shù)機構(gòu)不具備條件。

報告引用了某參與調(diào)查的美國機構(gòu)官員的評估：「我們現(xiàn)在的狀態(tài)像是在追蹤水銀——每次以為抓住了，它就分裂成更多碎片?！?/p>

這種挫敗感正在改變政策討論。2024年美國國會某委員會聽證會上，議員質(zhì)疑現(xiàn)有制裁框架對網(wǎng)絡(luò)活動的針對性不足；韓國國家情報院同期提議建立"網(wǎng)絡(luò)制裁"專門機制，區(qū)別于傳統(tǒng)貿(mào)易限制。但反對意見指出，更精細的制裁可能進一步加速對手的適應(yīng)進化。

朝鮮網(wǎng)絡(luò)項目的模塊化轉(zhuǎn)型，本質(zhì)上是一場關(guān)于"可見性"的博弈。制裁壓力迫使對手降低自身特征的可識別性，而防御方被迫在更嘈雜的信號中尋找更微弱的模式。DomainTools的報告價值不在于提供新工具，而在于重新定義問題：這不是追蹤一個組織，而是理解一種在持續(xù)壓力下自我復制的系統(tǒng)結(jié)構(gòu)。

當某加密貨幣交易所在2025年初發(fā)現(xiàn)入侵痕跡時，其安全團隊面臨一個無法回答的問題——這是朝鮮金融盜竊軌道的常規(guī)操作，還是破壞性攻擊軌道的前置偵察，亦或是某個尚未被分類的新集群的首次亮相？他們最終選擇了最昂貴的應(yīng)對：假設(shè)三者同時成立。