与朝鲜相关联的黑客组织,已成为 2025 年全球加密货币盗窃激增的主要推手。在 1 月至 12 月初全球被盗的 34 亿多美元加密货币中,该组织窃取金额至少达 20.2 亿美元。
区块链情报公司 Chainalysis 向The Hacker News披露的《加密犯罪报告》显示,这一数字较2024年的13亿美元增加6.81亿美元,同比增幅达 51%。该公司指出:“就被盗金额而言,2025年是朝鲜加密货币盗窃史上最严重的一年,其发起的攻击占所有服务入侵事件的比例也达到创纪录的 76%。截至目前,朝鲜累计窃取的加密货币资金下限估计已达67.5亿美元。”
在朝鲜窃取的20.2亿美元中,仅2月对加密货币交易所 Bybit的攻击就造成15亿美元损失。该攻击被归因于名为 TraderTraitor(又名 Jade Sleet、Slow Pisces)的黑客集群。哈德逊・罗克本月初发布的分析报告显示,一台感染了 Lumma Stealer恶意软件的设备,因关联邮箱 “trevorgreer9312@gmail [.] com”的存在,被证实与Bybit黑客攻击的基础设施相关联。
此类加密货币盗窃是朝鲜支持的黑客组织Lazarus集团过去十年间发起的一系列广泛攻击的一部分。上月,韩国最大加密货币交易所Upbit价值3600万美元的加密货币被盗,此案有关也与Lazarus相关。Lazarus集团隶属于朝鲜侦察总局,据估计,2020年至2023年间,该组织通过超25次加密货币盗窃,窃取了至少2亿美元。
黑客组织的双重作案策略
作为全球最活跃的黑客组织之一,朝鲜黑客还长期开展一项名为 “梦想工作行动”的活动。他们通过领英或 WhatsApp 联系国防、制造、化工、航空航天和科技领域的潜在求职者,以高薪工作为诱饵,诱使其下载并运行 BURNBOOK、MISTPEN、BADCALL 等恶意软件。这些行动的最终目标具有双重性:一是收集敏感数据,二是规避国际制裁,为朝鲜政权赚取非法收入。
朝鲜黑客采用的第二种策略是,通过虚假身份或专门设立的幌子公司,将信息技术人员安插在全球各地的企业中。这包括获取加密货币服务的特权访问权限,为大规模盗窃创造条件。这一欺诈运作模式被称为 “薪资鼹鼠”。Chainalysis 指出:“2025年盗窃金额创纪录,部分原因可能是朝鲜黑客扩大了对交易所、托管机构和Web3公司的IT人员渗透,这种方式能加速初始访问和横向移动,为大规模盗窃铺路。”
资金洗白路径与相关案件判决
无论使用何种方法,被盗资金都会通过中文的钱款转移和担保服务,以及跨链桥、混币器和Huione等专门市场进行洗钱。此外,被盗资产遵循一种结构化的、多阶段的洗钱路径,该路径大约在黑客攻击后的45天内展开:
第一阶段:即时分层(0-5 天)—— 利用去中心化金融协议和混币服务,迅速将资金与盗窃源头脱钩;
第二阶段:初步整合(6-10 天)—— 将资金转移至加密货币交易所、二级混币服务以及 XMRt 等跨链桥;
第三阶段:最终整合(20-45 天)—— 通过相关服务将加密货币最终兑换为法定货币或其他资产。
Chainalysis 表示:“朝鲜黑客大量使用专业中文洗钱服务和场外交易商,这表明他们与亚太地区的非法行为者联系紧密,也与朝鲜历史上利用中国境内网络接入国际金融体系的做法一致。”
与此同时,美国司法部披露,马里兰州 40 岁男子Minh Phuong Ngoc Vong因参与朝鲜 IT 人员渗透计划,被判处 15 个月监禁。2021 年至 2024 年间,该男子伪装其教育背景、培训经历和工作经验,成功受雇于至少 13 家美国公司,包括与美国联邦航空管理局签订合同。而这些工作实际上是由海外同谋者完成的。
美国司法部表示:”Vong与他人合谋,包括一名住在沈阳、化名为William James的外国国民,欺骗美国公司雇佣Vong为远程软件开发人员。在通过关于其教育、培训和经验的重大虚假陈述获得这些工作后,Vong允许James等人使用他的计算机访问凭证来执行远程软件开发工作并收取报酬。
值得注意的是,朝鲜关联黑客的 IT 人员渗透策略正发生转变:他们越来越多地以招聘者身份,通过 Upwork、Freelancer 等平台招募合作者,以扩大运作规模。
Security Alliance上月发布的报告指出:“这些招聘者会按照固定话术接触目标,寻求‘合作者’帮助投标和交付项目,并提供账户注册、身份验证和权限共享的详细步骤。在许多案例中,受害者最终会交出自由职业者账户的完全访问权限,或安装 AnyDesk、Chrome 远程桌面等远程控制工具,这使得黑客能够以受害者的已验证身份和 IP 地址运作,规避平台审核并开展非法活动。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容