北朝鲜的黑客组织与加密货币盗窃
北朝鲜依赖国家支持的黑客组织,如拉撒路(Lazarus),为其军事活动提供资金。根据10月22日发布的多边制裁监测小组报告,2024年1月至2025年9月期间,北朝鲜黑客实施的加密货币盗窃总额至少达到28亿美元,这些盗窃活动由国家支持的黑客组织和针对数字资产领域的网络行为者主导。
盗取的加密货币占其外汇收入的近三分之一,为其提供了一条稳定的、免受传统制裁影响的非法现金流。报告指出,大部分盗窃来自重大事件,包括2025年2月对Bybit的攻击,该事件单独占据了总额的约一半。
报告将这些攻击归因于熟悉的北朝鲜威胁行为者,他们使用复杂的供应链、社会工程和钱包破解方法。
北朝鲜的加密货币操作围绕着一套紧密的国家关联黑客组织生态系统,主要包括拉撒路、金水(Kimsuky)、TraderTraitor和Andariel,这些组织的指纹几乎出现在过去两年内的每一起重大数字资产泄露事件中。
网络安全分析师表示,这些团队在平壤的主要情报机构——侦察总局的指导下运作,协调的攻击方式模仿私营部门的高效运作。他们的主要创新在于完全绕过交易所,直接针对交易所用于安全存储的第三方数字资产保管服务提供商。
攻击手法与洗钱过程
通过攻破Safe(Wallet)、Ginco和Liminal Custody等公司的基础设施,北朝鲜黑客获得了从包括Bybit、日本的DMM Bitcoin和印度的WazirX在内的客户那里窃取资金的“主钥匙”。对DMM Bitcoin的攻击导致了3.08亿美元的损失,并最终导致该交易所关闭。
这一攻击在几个月前就已开始,当时一名TraderTraitor的黑客假装在LinkedIn上招聘,欺骗了一名Ginco员工打开一个伪装成面试测试的恶意文件。
其他国家支持的组织与这一主要努力协同作战。虽然CryptoCore集体技术水平较低,但通过高频率的社会工程活动,假装成招聘人员和商业高管来渗透目标。同时,Citrine Sleet因部署木马化的加密货币交易软件而声名鹊起。
在2024年10月的一起详细事件中,一名Citrine Sleet的黑客假装成Telegram上的可信前承包商,向Radiant Capital的一名开发者发送了一个恶意ZIP文件,导致5000万美元的盗窃。
一旦被盗,数字资产进入一个复杂的九步洗钱过程,旨在掩盖其来源并将其转换为可用的法定货币。朝鲜民主主义人民共和国(DPRK)的网络行为者系统地将被盗的代币兑换成以太坊或比特币等成熟的加密货币,然后利用包括Tornado Cash和Wasabi Wallet在内的一系列混合服务。
他们随后利用跨链桥和聚合器,如THORChain和LI.FI,在区块链之间跳转,通常将混合资产转换为基于Tron的USDT,以便进行现金提取。
对全球安全的影响
调查人员表示,这整个操作依赖于一个主要位于中国的场外交易经纪人网络,他们接受洗钱后的USDT,并通过中国银联卡将等值的法定货币存入朝鲜控制的银行账户。
这场无情的数字盗窃活动直接且严重地影响了现实世界。数十亿美元从加密生态系统中被 siphoned,并没有消失在官僚的真空中。MSMT报告得出结论,这一收入来源对朝鲜民主主义人民共和国(DPRK)采购大规模杀伤性武器和弹道导弹项目的材料和设备至关重要。
通过提供一条巨大的、免受传统金融制裁影响的非法现金流,全球加密货币行业已被武器化,成为平壤军事野心的一个不受监管且不情愿的资助者。这些盗窃不仅仅是为了利润的犯罪行为;它们是国家政策的行为,资助着威胁全球安全的军事扩张。
