Skynet朝鲜加密货币威胁报告

摘要 请注意，本报告中引用的所有数据均为估算值，随着调查推进及新事件披露，相关数据可能会进一步修订。 朝鲜已将加密货币盗窃活动产业化，使其成为国家核心收入来源之一。独立链上研究员Taylor Monahan的统计显示，2016年至2026年初，朝鲜相关黑客组织在263起已记录事件中，累计窃取约67.5亿美元。数据统计的偏差本身也暴露了一个真相：数百起针对个人、创始人及小型协议的零星盗窃案，并未纳入主流媒体的统计范围。 2025年，整个加密生态系统共记录656起安全事件，造成总计34亿美元损失。其中79起事件被认定为是与朝鲜有关的黑客所为，窃取金额高达20.6亿美元。虽然案件数量仅占总数的12%，但窃取资金总额却占总损失的近60%。这一悬殊比例凸显了朝鲜黑客行动的高度精准与庞大规模：攻击次数更少，但系统性地瞄准最高价值的目标。仅2025年2月的Bybit交易所事件，损失金额就高达15亿美元，创下史上单笔规模最大的加密货币盗窃纪录。这种作案模式延续到了2026年。 2026年1月至今，加密生态系统共发生185起安全事件，总损失约11亿美元。其中约6.209亿美元的损失由朝鲜黑客造成，占全球总损失的55%，这主要归咎于高达2.91亿美元的KelpDAO协议被黑事件。 本报告对三起具有代表性的朝鲜网络攻击进行了全面技术分析：2022年Ronin跨链桥攻击事件（6.25亿美元）、2025年Bybit交易所事件（15亿美元）以及Drift协议攻击事件（2.85亿美元）。这三起事件累计造成超24亿美元损失，清晰展现了朝鲜网络战能力的演进历程：从早期简单攻破热钱包，逐步升级为针对机构级基础设施发起复杂的供应链攻击。 其发展轨迹清晰可见：日益高价值的行动、工业化的洗钱渠道，以及数量庞大的、总价值堪比超级黑客攻击的小型盗窃案件。朝鲜黑客组织始终将目标锁定在人员和供应链的薄弱环节，而非智能合约代码漏洞。在近十年的行动中，他们的主要攻击手段很少是代码，几乎总是针对人员。 其发展轨迹已经十分清晰：攻击目标价值不断攀升、洗钱链路高度产业化，同时伴随着海量长尾效应的小额盗窃（这些小额盗窃的总价值足以媲美特大安全事件）。朝鲜黑客始终将矛头对准人性和供应链弱点，而非直接攻击智能合约的代码漏洞。在近十年的黑客活动中，代码几乎从未成为首要攻击目标；他们真正攻破的，始终是人。 核心要点 社会工程学是主要的攻击手段。从Ronin跨链桥遭遇领英（LinkedIn）虚假招聘钓鱼，到Bybit依赖的Safe多签钱包开发者账户被盗，多数重大朝鲜黑客事件均始于对人性的操纵。伪装风投机构、策划虚假面试以及建立恶意代码库，构成了各类攻击集群获取初始访问权限的主要手段。 供应链攻击成为朝鲜黑客的典型特征。Bybit事件表明，只要攻破第三方基础设施，即便是机构级多签冷钱包也难逃一劫。黑客根本没有破解智能合约，而是直接篡改了签名者极为信任的用户界面（UI）。 朝鲜的洗钱基础设施已达到产业化规模。Bybit被攻击后的短短一个月内，86.29%的被盗以太坊已被兑换为比特币。整条洗钱链路深度整合了混币器、跨链桥、去中心化交易所（DEX）以及场外交易（OTC）承兑商。 加密货币盗窃直接为大规模杀伤性武器计划提供资金。联合国监测机构及美国情报评估机构均已证实，窃取加密货币所得的收入，正源源不断地输送给朝鲜的核武器与弹道导弹研发项目。 朝鲜IT工作者潜伏导致威胁范围持续扩大。多年来，朝鲜特工持续以虚假身份渗透众多DeFi（去中心化金融）协议，他们以“可信内部员工”的身份开展工作，暗中却向国家支持的黑客部队输送情报。在若干已披露案例中，这些人员甚至直接参与盗取其所任职组织的资金。 战略背景 自2006年朝鲜首次核试验以来，国际制裁严重限制了该国获取外汇及接入国际金融体系的渠道。联合国安全理事会逐步收紧对朝鲜出口、银行业务联系及贸易伙伴关系的限制。到2017年，朝鲜的出口收入已大幅下滑，该政权亟需寻找一条能够完全绕开国际金融体系的替代创收途径。 加密货币恰好满足了这一需求。黑客可以远程窃取数字资产，无需通过任何中介机构即可实现资产跨境转移，最后再通过由同谋或不知情的经纪商组成的网络将资产兑换为法定货币。 目前，美国与联合国官员已公开表示，加密货币盗窃已成为朝鲜大规模杀伤性武器项目的关键资金来源。公开数据估算显示，自2017年以来，朝鲜累计窃取的加密货币规模在其外部总收入中占据极大比重。某个DeFi协议被攻破与一枚弹道导弹发射升空，这两者看似毫无关联，但情报评估证实，二者之间存在着直接的因果联系。 “网络战能力是与核武器、导弹一起，保障我军无情打击能力的万能宝剑。”——金正恩 朝鲜黑客并非出于敛财目的以求中饱私囊的普通犯罪分子。他们是拥有政府支持的国家级雇员，奉命执行战略任务。他们具备惊人的毅力与丰富的资源，甚至愿意为单次行动蛰伏数月。这种执行力，是普通犯罪组织无法企及的。 组织架构 Lazarus组织是一个统称，涵盖了由朝鲜侦察总局统一指挥的多个网络战部队，该局是平壤主要的对外情报机构。 据美国陆军估算，这些网络战部队共编有约7,000名人员。他们堪称极端的“工作狂”，通常从协调世界时（UTC）午夜开始工作，每周工作六天，每天至少15个小时。 了解朝鲜网络行动的内部架构至关重要，因为不同的攻击集群会采用截然不同的战术、技术与流程（TTP），使用各异的恶意软件与洗钱基础设施，并锁定特定类型的受害者群体。目前最完整的组织结构分析之一来自DTEX Systems的研究报告. 攻击集群分类 下文的分类体系反映了Mandiant、微软、Palo Alto以及独立研究人员对朝鲜网络行动集群的最新追踪与认知： SquidSquad 别名：Sapphire Sleet, DangerousPassword, CryptoCore, APT38, BlueNoroff, Alluring Pisces, LeeryTurtle, SnatchCrypto, CryptoMimic, UNC1069, Black Alicanto, CageyChameleon. 按事件数量计算，这是最活跃的集群之一。SquidSquad擅长伪装成风险投资人、投资者和商业伙伴，专门锁定加密项目创始人、高管及高净值人群。黑客惯用手法是先通过Telegram或领英建立初步联系，随后发送包含恶意软件的Google Drive链接或PDF文件。常见的钓鱼诱饵文件包括伪造的投资意向书、稳定币风险评估报告以及会议议程。 核心恶意软件：RustBucket、SwiftBucket、NimDoor（针对macOS）以及基于AppleScript的攻击载荷。洗钱渠道：Tornado Cash、eXch、Noones、Paxful以及Dust collector。 TraderTraitor 别名：Jade Sleet、Slow Pisces、UNC4899 该集群制造了规模最大的交易所和基础设施遇袭事件。TraderTraitor通过精心伪造的虚假招聘信息和技能测试，专门针对区块链公司的技术人员和后端工程师发起攻击。美国联邦调查局（FBI）已明确指出，Ronin跨链桥、Bybit交易所、Harmony Horizon跨链桥及众多其他大型交易所遇袭事件，均由该集群直接发起。 核心攻击手段：发布涉及Python、SQL或JavaScript项目的虚假招聘及技能测试。提供暗藏恶意npm包的GitHub代码库（有时为私有库）。黑客通常在领英上克隆真实的个人资料，伪装成白人专业人士。 显著特征：首次入侵到实施盗窃之间存在极长的潜伏期，有时超过6个月。 历史攻击案例：Bybit、Phemex、XT、Indodax、WazirX、DMM Bitcoin、Poloniex、HTX/Heco、Stake、CoinEx、Alphapo、CoinsPaid、Atomic Wallet、JumpCloud、3CX、Harmony、Ronin等。 Contagious Interview 别名：Famous Chollima 这是一个规模迅速扩张的社会工程学攻击集群。该集群主要通过虚假面试和恶意代码库锁定开发者。受害者往往是在回应招聘启事或猎头联络后，被要求完成编程测试。测试代码暗藏植入后门的npm包或Python模块，开发者一旦安装，其工作站便会被入侵。 核心恶意软件：BEAVERTAIL、INVISIBLEFERRET、OTTERCOOKIE。传播方式：GitHub/Bitbucket代码库、执行npm install命令、虚假视频会议工具（如伪造的Willo、Survicate或克隆版Teams）。洗钱渠道：Stargate、Defiway、RhinoFi、Railgun以及Dust collector。 AppleJeus 别名：Citrine Sleet、Gleaming Pisces、UNC4736 该集群专门制作植入木马的加密货币交易应用程序。AppleJeus至少自2018年起便处于活跃状态，大肆制造虚假交易平台和钱包应用，以此窃取用户的凭证和私钥。知名的虚假应用包括Celas Trade Pro、JMTTrading、Union Crypto、CoinGoTrade以及Ants2Whale。该集群还曾利用Chromium浏览器的零日漏洞（CVE-2024-7971），并部署了FudModule Rootkit。 朝鲜IT工作者 别名：Jasper Sleet 数千名朝鲜IT工作者利用伪造身份，设法获取西方企业的远程工作职位。这批人员主要从事合法工作，但暗中提供情报或协助盗窃行动。他们凭借赚取的薪水资助大规模杀伤性武器项目的研发，而他们获取的系统访问权限，更构成了长期的内部威胁。 典型案例：Munchables平台（损失6,200万美元，内部人员部署恶意智能合约）、Solareum项目（损失110万美元，朝鲜IT工作者直接跑路）、Paid Network协议（损失1.6亿美元，内部人员漏洞攻击）。 行动特征 要构建有效的防御体系，不仅需要了解朝鲜网络战部队的具体行动内容，更要深入剖析他们的运作模式。以下几个特征使得Lazarus组织在众多威胁行为者中显得与众不同： 高度专业化与纪律性 Lazarus组织犹如一座“恶意软件工厂”，能够通过多条独立的流水线持续生成新样本。该组织大量采用代码混淆技术、商业软件保护工具以及自定义封装器。黑客故意将第一阶段的后门程序设计得非常简陋且作为消耗品使用，即便暴露也不会对后续行动造成太大影响。只有确认感染高价值目标后，黑客才会部署高级攻击载荷。这些载荷通过DLL（动态链接库）加载器、加密容器或密码保护的安装程序重重伪装，足以阻断任何沙盒分析。 侦察 在实施盗窃前，黑客通常会在受入侵系统中潜伏数月，持续搜集关于内部流程、人员安排、软件配置以及安全规程的情报。至少在五起针对主要加密货币交易所的重大黑客攻击中，由于黑客对内部系统了如指掌，初步调查一度误判为内部人员所为。 鱼叉式网络钓鱼 朝鲜黑客在投递攻击载荷之前，会投入大量时间建立信任关系。SquidSquad的伪装者会连续数周扮演虚假的风投角色，开展令人信服的投资探讨后，才会发送恶意文件。Contagious Interview则会组织多轮带有真实编程测试的技术面试，最后才提供植入后门的代码库。黑客在社会工程学上投入的巨大精力，使得这些攻击手法比普通的钓鱼活动更加难以被察觉。 持续演化 Lazarus组织的演化速度往往快于大多数安全团队的适应速度。自2007年以来，随着盈利模式的变化、目标行业防御姿态的提升以及朝鲜技术能力的不断扩张，该组织的行动重心已经经历了多个截然不同的演进阶段。 朝鲜加密攻击模式的演进轨迹 自2016年以来，针对加密货币的朝鲜网络攻击行动至少经历了五个截然不同的演进阶段。每一次战术转型，均源于目标行业防御姿态的提升、盈利模式的变化以及朝