北朝鲜黑客组织的最新动态
北朝鲜黑客组织正在利用自由职业IT工作的诱惑,获取云系统的访问权限,并盗取价值数百万美元的加密货币。根据谷歌云和安全公司Wiz的独立研究,谷歌云的2025年下半年云威胁前沿报告显示,谷歌威胁情报组正在“积极追踪”UNC4899,这是一个成功入侵两家公司的北朝鲜黑客单位,他们通过社交媒体联系员工。
在这两起事件中,UNC4899给员工布置了任务,导致员工在工作站上运行恶意软件,从而使黑客组织能够在其指挥控制中心与目标公司的云系统之间建立连接。结果,UNC4899能够探索受害者的云环境,获取凭证材料,并最终识别出负责处理加密交易的主机。
攻击手法与影响
虽然每起事件针对的是不同的(未命名)公司和不同的云服务(谷歌云和AWS),但都导致了“数百万美元的加密货币被盗”。北朝鲜黑客使用工作诱饵的行为现在已“相当普遍且广泛”,反映出相当高的复杂性。
谷歌威胁情报组欧洲首席威胁情报顾问杰米·科利尔(Jamie Collier)在接受Decrypt采访时表示:“他们经常假装成招聘人员、记者、主题专家或大学教授与目标联系。”
他补充说,他们通常会进行多次沟通,以便与目标建立关系。科利尔解释说,北朝鲜的威胁行为者是最早迅速采用新技术(如人工智能)的人之一,他们利用这些技术制作“更具说服力的建立关系的电子邮件”和编写恶意脚本。
TraderTraitor与黑客活动
云安全公司Wiz也报道了UNC4899的活动,指出该组织还被称为TraderTraitor、Jade Sleet和Slow Pisces。TraderTraitor代表了一种特定类型的威胁活动,而不是一个具体的组织,北朝鲜支持的实体如拉扎鲁斯集团(Lazarus Group)、APT38、BlueNoroff和Stardust Chollima都参与了典型的TraderTraitor攻击。
Wiz在对UNC4899/TraderTraitor的分析中指出,这些活动始于2020年,从一开始,负责的黑客组织就利用工作诱饵诱使员工下载基于JavaScript和Node.js、使用Electron框架构建的恶意加密应用程序。
未来展望与潜在威胁
Wiz表示,该组织在2020年至2022年的活动“成功入侵了多个组织”,包括拉扎鲁斯集团对Axie Infinity的Ronin网络的6.2亿美元入侵。TraderTraitor的威胁活动在2023年演变为使用恶意开源代码,而在2024年则加大了对虚假工作机会的利用,主要针对交易所。
最值得注意的是,TraderTraitor组织负责了日本DMM Bitcoin的3.05亿美元黑客攻击,以及2024年底Bybit的15亿美元黑客事件,该交易所在今年2月披露了这一事件。
“我们相信,TraderTraitor专注于与云相关的攻击和技术,因为那是数据所在,因此也是资金所在,”Wiz的战略威胁情报总监本杰明·里德(Benjamin Read)在接受Decrypt采访时表示。
里德解释说,针对云技术使黑客组织能够影响广泛的目标,从而增加了赚取更多资金的潜力。这些组织正在进行大规模的业务,里德表示:“截至2025年,估计已经盗取了16亿美元的加密货币。”
他补充说,TraderTraitor及相关组织的员工“可能有数千人”,他们在多个有时重叠的组织中工作。“虽然很难给出具体数字,但显然北朝鲜政权正在为这些能力投入大量资源。”
结论
最终,这种投资使北朝鲜成为加密黑客的领导者,TRM Labs在2月份的一份报告中得出结论,去年该国占所有被盗资金的35%。专家表示,所有可用迹象表明,该国在与加密相关的黑客活动中可能会继续存在一段时间,特别是考虑到其操作人员开发新技术的能力。
“北朝鲜的威胁行为者是一支动态且灵活的力量,持续适应以满足政权的战略和财务目标,”谷歌的科利尔表示。
科利尔重申,北朝鲜黑客越来越多地利用人工智能,他解释说,这种使用实现了“力量倍增”,从而使黑客能够扩大他们的攻击规模。“我们没有看到他们放缓的迹象,并预计这种扩张将继续。”
