文章总结： 调查揭露朝鲜Lazarus等组织共享统一后勤网络，存在活跃工具部署、凭证窃取及FRP隧道等重叠基础设施。研究发现其资产通过共享证书互联，且行为者具有显著惯性。建议防御者利用这一行为模式一致性，通过分析基础设施工具链与未知资产关联，有效预测并阻断后续攻击。 综合评分： 85 文章分类： 威胁情报,网络安全

北方阴影：揭秘朝鲜错综复杂的网络基础设施体系

FreeBuf

2025年12月22日 18:31 上海

一项最新联合调查揭露了支撑朝鲜最臭名昭著网络行动的复杂重叠基础设施。Hunt.io与Acronis威胁研究团队的研究人员联手绘制了朝鲜民主主义人民共和国（DPRK）的网络作战架构，揭示出一个间谍活动、金融窃取与破坏意图相互交织的复杂生态。

Part01

威胁组织间的资源共享

这份联合报告阐明，像Lazarus、Kimsuky和Bluenoroff这些通常被视为独立实体的不同威胁组织，实际上共享着统一且实用的后勤网络。网络安全界常根据攻击目标将朝鲜威胁组织简单分类（如Lazarus负责资金窃取，Kimsuky负责情报收集），但实际情况要复杂得多。调查发现这些组织存在务实的资源共享现象，模糊了彼此间的界限。

报告指出：”Lazarus、Kimsuky等组织及其子团体构成了朝鲜的威胁生态，各自执行从间谍活动、金融操作到破坏性行动等不同剧本。尽管各组织的行动模式和动机存在差异，但它们经常共享凭证窃取工具等工具包，表现出相似的基础设施模式，并依赖类似的投放诱饵。”

Part02

基础设施测绘突破

此次调查超越了简单的恶意软件分析，转而聚焦维持这些行动的服务器和网络。研究人员成功发现了”此前未被公开关联的运营资产集群”，揭露了维持朝鲜黑客引擎运转的机械结构。

重要发现包括：

• 活跃工具部署服务器：用于投放恶意软件的枢纽节点
• 凭证窃取环境：大规模收集登录信息的基础设施
• FRP隧道节点：用于隐藏流量和绕过防火墙的专用服务器
• 证书关联基础设施：通过共享SSL/TLS证书相互连接的服务器网络

“这些发现有助于勾勒朝鲜作战基础设施不同部分如何在各类行动中持续交叉，并为防御者提供更清晰的视野来了解这些行为者依赖的基础设施习惯。”

Part03

技术突破与防御启示

本研究的关键技术突破在于能够从一个已知资产出发，发现整个未知集群。通过分析主机数据（如报告中展示的Hostwinds LLC节点），研究人员追踪到了与Bluenoroff相关活动的连接——该子团体以攻击金融机构和加密货币交易所而臭名昭著。

报告为防御者指出了一个重要经验：朝鲜操作者具有行为惯性。”纵观其多年来的多次行动，朝鲜威胁行为者遵循着一致的操作模式，这使得尽管恶意软件和诱饵不断演变，其活动仍可被检测到。”

通过绘制这些行为模式，Hunt.io和Acronis为安全社区提供了更好地预测和阻断这个隐士王国下一波攻击的蓝图。

参考来源：

Shadows of the North: Unmasking the Sprawling Cyber Infrastructure of the DPRK

Shadows of the North: Unmasking the Sprawling Cyber Infrastructure of the DPRK

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《北方阴影：揭秘朝鲜错综复杂的网络基础设施体系》