摘要:研究揭示朝鲜关联黑客组织已构建工业化数字资产窃取网络,2016至2026年初累计盗取约67.5亿美元。其攻击策略从技术漏洞转向人性弱点,结合高度分工的团队与复杂洗钱路径,对全球加密生态构成系统性威胁。
币圈界报道:
朝鲜国家级黑客集群构建数字化财源体系,虚拟资产成核心收入来源
最新分析显示,朝鲜关联网络攻击组织已在区块链与去中心化金融领域建立起高度组织化的资产攫取机制,将虚拟资产转化为维持国家运作的关键资金渠道。自2016年至2026年初,确认的攻击事件达263起,累计窃取价值约67.5亿美元的数字资产。尤其在2025年,尽管仅发生79起相关攻击,但造成的经济损失高达20.6亿美元,占当年全行业损失总额的六成,凸显其高价值目标集中打击模式的致命性。
战略级网络行动取代传统犯罪,数字资产成突破制裁关键
随着国际制裁加剧外汇获取难度,朝鲜已将跨境流动性强的虚拟资产作为替代性融资渠道。情报机构评估指出,被截获的资金直接用于核武器研发与弹道导弹项目,使网络攻击从经济犯罪升格为国家层面的战略资源获取手段。
损失规模持续攀升,单次事件冲击力空前
2026年1月至今,虚拟资产领域共发生185起安全事件,总损失约11亿美元。其中,朝鲜关联攻击导致的损失达6.209亿美元,占比达55%。尽管大规模入侵数量有限,但每次事件均引发市场剧烈震荡,暴露出系统性脆弱性。
以人类心理为突破口,社会工程学主导攻击路径
该组织优先利用人员信任而非代码缺陷实施渗透。典型手法包括伪造风险投资提案、伪装招聘面试、嵌入恶意代码的技术任务以及诱导下载的虚假视频会议链接。相比针对智能合约漏洞的攻击,此类基于人性弱点与工作流程缺陷的手段更具隐蔽性与成功率。
专业化分工架构成型,多支特化团队协同作战
攻击集群已形成明确角色划分:‘SquidSquad’专攻创业者与高净值人群,‘TraderTraitor’聚焦交易所与科技企业技术人员,‘Contagious Interview’通过虚假面试与恶意代码库感染开发者,而‘AppleJeus’则散布木马化交易应用。此外,部分朝鲜籍IT人员以远程岗位身份渗透西方企业,进一步扩大攻击触角。
庞大组织体系支撑长期行动,战术部署高度纪律化
‘Lazarus’被认定为平壤侦察总局下属多个网络单位的统称,公开资料显示其总规模接近7000人。组织采用长期运作模式,初期使用低复杂度恶意载荷降低检测风险,仅在锁定高价值目标时投入高级攻击工具,确保行动隐蔽性与成功率。
攻击形态随防御升级持续进化,从单纯破坏迈向深度渗透
早期攻击以针对韩国政府与金融机构的分布式拒绝服务为主,后转向传统金融基础设施。2017年后重点攻击交易所热钱包,2020年代转向去中心化金融协议与跨链桥。近期更发展出结合第三方解决方案规避与线下接触的供应链攻击及物理渗透,表明其正投入更多资源进行精密伪装与长期布局。
典型案例揭示攻击链完整闭环,影响波及整个生态
2022年Ronin Bridge事件中,攻击者伪装为领英招聘人员,诱使工程师下载含恶意脚本的PDF文件,进而控制9个验证节点中的5个,盗走17.36万枚ETH与2550万美元USDC,造成约6.24亿美元损失,成为当时最大规模黑客事件。2025年2月某交易平台遭入侵,攻击者先窃取多签钱包开发者的AWS会话令牌,再篡改用户界面使其看似正常转账,最终导致超14亿美元资产外流,刷新行业纪录。2026年4月,一Solana系去中心化交易所遭遇攻击,攻击者不仅窃取密钥,还人为制造虚假流动性并禁用提款保护机制,在数分钟内提取大量资金,且其背后中介非朝鲜籍,反映威胁已延伸至现实世界。
洗钱路径日益复杂,追踪与冻结面临新挑战
在某大型交易所遭袭后的一个月内,86.29%的被盗ETH被转为BTC,过程融合混币服务、跨链桥、去中心化交易所、场外经纪商及粉尘分散账户等多种手段,实现交易痕迹碎片化。更危险的是,出现将公链本身作为命令控制基础设施的‘EtherHiding’技术——将恶意载荷隐藏于智能合约数据中,以只读调用方式提取,使传统服务器瘫痪应对策略失效。
市场信心受创,连锁反应波及全局
一次重大安全事件即可引发连锁效应。例如某平台遭劫后,洗钱活动导致以太坊价格下跌4.2%。这不仅影响直接受害方,更波及依赖同一协议的项目方与投资者,使安全事件从单一企业损失演变为动摇市场稳定性的结构性风险。
国际合作受限,应对仍存明显短板
美日韩等国虽组建多边制裁监控小组,扩大对朝鲜IT人员的制裁,并推动稳定币发行方强化冻结机制,打击东南亚地下金融网络,但部分去中心化服务拒绝配合资金冻结,地缘政治分歧亦阻碍调查协作,整体应对成效受到制约。
构建多维度防御体系,需覆盖人力与流程全链条
报告建议采取严格身份验证、零信任招聘政策、加强通信安全培训、设置提款延迟与熔断机制、引入时间锁治理方案,并采用气隙硬件安全模块。研究强调,仅依赖智能合约审计不足以抵御威胁,必须建立涵盖人员甄选、运营流程、第三方依赖及实体接触的全方位防护框架。
未来威胁持续深化,人工智能与跨链攻击或成新趋势
预测显示,2026年后朝鲜黑客组织将进一步扩展基于人工智能的社会工程攻击、加深对各行业的渗透深度、探索新型跨链洗钱路径,并滥用合法开发者工具实施攻击。当前形势已表明,该威胁不再是偶发事件,而是虚拟资产生态系统必须长期应对的常态化风险。研究警示,一旦虚拟资产被确立为朝鲜体制维系的核心财源,其攻击将不再取决于‘是否发生’,而在于‘何时以何种形式爆发’。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。