2026-01-01 05:10:02 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档详述Lazarus组织2009至2026年演变，分析其转向加密融资战略。涵盖Bybit劫案、AI深度伪造及供应链攻击。预测2026年该组织将深化AI攻击与俄方协同，建议防御方结合地缘政治与技术手段，重点应对供应链与数字信任威胁。 综合评分： 85 文章分类： 威胁情报,恶意软件,供应链安全,网络安全,社会工程学

cover_image

朝鲜网络战机构全面情报档案 (2009–2026)

独眼情报

2025年12月31日 16:15 湖北

只翻译，不校对。备份、为公众号AI提供知识库。

在国家支持的网络战争史上，Lazarus Group（美国情报界正式称为 HIDDEN COBRA，行业追踪者称之为 APT38、Zinc 或 Diamond Sleet）占据着一个独特且反常的地位。与俄罗斯联邦专门的信号情报（SIGINT）局或中华人民共和国侧重于知识产权的行动不同，Lazarus Group 的运作带有混合授权，模糊了间谍活动、破坏活动与有组织犯罪之间的界限。它是全球唯一一个主要作为政府创收引擎运作的国家背景高级持续性威胁（APT）组织，实际上是一个为核大国提供资金支持的网络犯罪企业。

到 2025 年底，Lazarus Group 已从一个破坏性的麻烦制造者演变为一级全球威胁行为体，能够动摇金融市场并破坏关键国防供应链。本博客涵盖了该组织的历史起源及其到 2026 年的预期轨迹，分析了朝鲜网络攻势的战略驱动因素、行动战术以及地缘政治影响。

截至 2025 年 2 月，该组织达成了一个历史性的里程碑：从 Bybit 加密货币交易所窃取了 15 亿美元。这一单次行动约占朝鲜估计 GDP 的 5%，凸显了金氏政权对网络金融诈骗的极度依赖，以此规避国际制裁并为其大规模杀伤性武器（WMD）计划提供资金。此外，该组织对人工智能的快速采用——在社交工程攻击中部署深度伪造（Deepfake）视频和音频便是明证——标志着其攻击手段发生了危险的演变。

本档案对 Lazarus 生态系统进行了详尽的审查，剖析了其在侦察总局（RGB）领导下的组织结构、关键的历史行动、向加密货币窃取的转型，以及为支持平壤 2026 年军事现代化目标而日益聚焦于国防工业基地的趋势。

战略背景：网络犯罪的地缘政治学

要了解 Lazarus 小组，首先必须了解塑造朝鲜民主主义人民共和国（DPRK）的地缘政治和经济压力。该政权处于长期的经济围困状态。数十年的管理不善，加上联合国针对其煤炭、海产品和纺织品出口的严厉制裁，使该国极度匮乏硬通货。

在这种真空状态下，网络战提供了一种不对称的解决方案。它仅需极少的物理资源——电力、互联网连接和人力资本——却能产生不成比例的战略和经济回报。Lazarus 小组不仅是战争工具，更是经济命脉。据情报估计，朝鲜高达 50% 的弹道导弹资金直接源自网络窃取。

侦察总局 (RGB)

Lazarus Group 的上级组织是侦察总局 (RGB)，它是朝鲜主要的对外情报机构。侦察总局成立于 2009 年，由劳动党和军队的多个情报部门合并而成，负责秘密行动、特种部队和网络战。

在侦察总局内部，网络职能由多个局执行，其中最著名的是：

121 局（网络战指导单位）： 主要的进攻性黑客部队，传统上专注于针对韩国和美国的破坏及间谍活动。
180 部队（金融网络犯罪）： 脱北者和情报分析人员确认为非法创收的主要驱动力。据信，180 部队负责协调该组织最胆大妄为的金融劫案，主要在中国、东南亚和俄罗斯的海外基地运作，以利用更好的互联网基础设施。
第 110 研究中心（技术侦察小组）： 通常负责技术研究、漏洞发现以及该组织专有恶意软件库的开发。

“全社会”参与模式

Lazarus 集团并非孤立运作。它得到了朝鲜内部强大的学术和培训体系的支持。天才学生在中学时期就会被选拔出来，并被输送到金日成综合大学和金策工业综合大学等专门机构。之后，他们通常以“IT 工作者”的身份被派往海外——这些自由程序员通过合法的软件开发产生收入，同时为黑客部队进行侦察或协助洗钱。这种军民融合确保了侦察总局（RGB）的目标拥有源源不断的人才流和行动支持。

历史轨迹：从干扰到破坏 (2009–2014)

Lazarus 小组的早期阶段以破坏和惩罚的欲望为核心。这些行动的特点是采取“高调”战术——分布式拒绝服务（DDoS）攻击和数据擦除——旨在制造混乱而非窃取资金。

特洛伊行动与 DDoS 时代（2009–2012）

该组织攻击行动的起源可以追溯到“特洛伊行动”（Operation Troy），这是一场在 2009 年至 2012 年间针对韩国军事和政府实体的网络间谍活动。通过使用简单但有效的恶意软件，该组织窃取了与美国和韩国军事能力相关的敏感关键词。

这一时期还发生了 2011 年的“十日雨”攻击，这是一场针对韩国金融、媒体和政府网站的大规模 DDoS 行动。尽管以现代标准衡量，这些攻击在技术上并不复杂，但它们展示了该政权动用僵尸网络进行协同破坏的能力。

DarkSeoul 与向破坏性攻击的转型 (2013)

2013 年 3 月，该组织通过“DarkSeoul”行动（也称为 3.20 网络恐怖袭击）升级了其战术。在一天之内，韩国三家主要银行和三家电视台的网络陷入瘫痪。攻击者部署了“擦除器”（wiper）恶意软件，重写了受感染机器的主引导记录（MBR），导致其无法启动。

心理影响是深远的。全国各地的 ATM 机停止运行，广播机构无法播报新闻。这次行动标志着一个明确的信号：朝鲜已将网络能力视为一种战略武器，能够对关键基础设施造成类似于物理攻击的破坏。

索尼影业遭黑客攻击事件：地缘政治的分水岭（2014年）

使拉撒路小组（Lazarus Group）一举登上国际舞台的事件，是 2014 年 11 月对索尼影业（Sony Pictures Entertainment）发动的攻击。由于当时索尼即将上映描绘刺杀金正恩的喜剧电影《采访》（The Interview），这次攻击被视为一场旨在捍卫最高领导人尊严的惩罚性行动。

拉撒路的操作人员以“和平卫士”（Guardians of Peace，简称 GOP）为化名渗透进索尼的网络，窃取了包括未上映电影、高管邮件和员工社会安全号码在内的数 TB 数据。攻击最后，他们部署了 Destover 擦除恶意软件，摧毁了 3000 多台计算机和服务器上的数据。

重要性：

首次归因： 联邦调查局（FBI）正式将此次攻击归咎于朝鲜政府，这标志着美国首次就针对私营企业的网络攻击对主权国家提出直接指控。
制裁先例： 该事件促成了第 13687 号行政命令的出台，扩大了美国对朝鲜官员的制裁权限。
行动模式： 索尼黑客事件确立了 Lazarus 的特征：深度网络渗透、长时间潜伏（数月的侦察）以及通过破坏性的收尾行动来掩盖踪迹。

转向金融领域：十亿美元大劫案（2015-2017）

随着针对朝鲜核试验的国际制裁不断收紧，Lazarus 组织的战略重点从政治报复转向了经济生存。这一时期通常与 BlueNoroff 子小组（APT38）相关联，见证了其对 SWIFT 国际银行网络的武器化利用。

2016年孟加拉国银行抢劫案

2016 年 2 月，Lazarus 的操纵者们实施了历史上最胆大妄为的银行抢劫案之一。在提前数月入侵孟加拉国中央银行的网络后，他们监视了该银行内部的 SWIFT 转账流程。

在一个节假日周末，他们发起了 35 笔欺诈性转账请求，总额近 10 亿美元，资金从孟加拉国银行在纽约联邦储备银行的账户转往斯里兰卡和菲律宾的账户。

小插曲： 其中一条转账指令中出现了一个偶然的拼写错误（将“Foundation”误拼为“Fandation”），引起了路由银行的警觉，导致大部分交易被拦截。
损失： 尽管出现了错误，仍有 8100 万美元被成功转移到菲律宾，并在当地通过赌场洗钱后销声匿迹。

这次行动展示了一种极其恐怖的能力：破坏全球金融体系基础信任协议的能力。这并非孤立事件；越南先锋银行（Tien Phong Bank）、厄瓜多尔奥斯特罗银行（Banco del Austro）以及波兰的一些银行也曾遭受过类似但规模较小的攻击。

WannaCry 勒索软件大爆发 (2017)

2017 年 5 月，Lazarus Group 发布了 WannaCry，这是一种勒索软件蠕虫，在短短几天内感染了 150 个国家的 30 多万台计算机。

武器： 此次攻击利用了 EternalBlue（永恒之蓝），这是由美国国家安全局（NSA）开发并由 Shadow Brokers 组织泄露的漏洞利用程序。EternalBlue 利用了微软服务器消息块（SMB）协议中的一个漏洞，使恶意软件能够在无需用户交互的情况下在网络中自我传播。
影响： 这次攻击使英国国家医疗服务体系（NHS）陷入瘫痪，导致法国的汽车工厂停产，并中断了西班牙的电信服务。据估计，经济损失高达 40 亿美元。
失败之处： 尽管造成了巨大的破坏，但其产生的收益却微乎其微（不足 15 万美元）。勒索金收集机制设计拙劣，将支付指向少数几个静态比特币钱包，使得交易所很容易将这些资金列入黑名单。这导致许多分析人士得出结论：WannaCry 要么是一次失去控制的测试，要么是匆忙部署的一种强力网络武器。

加密货币时代：盗窃的工业化（2017–2024）

在 2016 年后银行业面临严密审查的背景下，Lazarus 集团转向了新兴的加密货币市场。区块链交易的伪匿名性质以及早期加密货币交易所安全性的不成熟，为其提供了肥沃的狩猎场。

“AppleJeus”行动

从 2018 年开始，该组织发起了“AppleJeus 行动”，创建了虚假的加密货币交易公司和软件。受害者被诱导下载含有木马更新程序的“交易机器人”或“投资组合管理器”。软件一旦安装，就会窃取用户的私钥。这标志着其攻击目标从机构转向了高净值个人和小型交易所。

利用 DeFi 热潮 (2020–2023)

2020 年去中心化金融 (DeFi) 的兴起提供了新的目标：跨链桥。这些协议通过在一条区块链上锁定资产并在另一条链上铸造包装代币，成为了巨大的流动性诱饵。

Ronin Network (2022 年 3 月)： 在一场破纪录的盗窃案中，Lazarus 攻击者入侵了 Ronin Network（支持 Axie Infinity 游戏）的验证者节点，并抽干了价值 6.24 亿美元 的以太坊和 USDC。这次攻击涉及对开发团队进行的复杂社会工程学手段。
Harmony Horizon Bridge (2022 年 6 月)： 该组织使用类似的战术，窃取了 Harmony 桥的私钥，盗取了 1 亿美元 。
Atomic Wallet（2023 年 6 月）： 通过针对非托管钱包基础设施，他们从个人用户手中窃取了超过 1 亿美元 。

大规模洗钱

为了掩盖这些巨额资金的来源，Lazarus 率先使用了加密货币混币器。

Tornado Cash： 多年来，这个以太坊混币器一直是主要的洗钱工具。该组织会存入被盗资金，然后将其与合法交易混合，从而切断链上关联。
Sinbad & Blender.io： 随着 2022 年美国对 Tornado Cash 实施制裁，该组织迁移到了像 Sinbad（于 2023 年底受制裁）这样的比特币混币器。
跨链跳跃（Chain Hopping）： 操作者经常利用“跨链跳跃”——在比特币、以太坊和 Avalanche 区块链之间快速转移资金——以此挫败 Chainalysis 和 TRM Labs 等公司的调查人员。

2025 年的升级：金融与间谍活动的融合

Lazarus Group 的行动频率在 2024 年和 2025 年显著加快。这一时期的特点是，该组织重新开始针对中心化交易所，且手段更加复杂，并重新聚焦于战略间谍活动，以支持朝鲜与俄罗斯的军事结盟。

Bybit 劫案：15 亿美元的分水岭

2025 年 2 月 21 日，Lazarus Group 实施了历史上规模最大的单笔加密货币窃取案，从 Bybit 交易所卷走了价值 15 亿美元 的以太坊。

运营分析

与去中心化金融（DeFi）漏洞利用中那种“砸门抢劫”式的战术不同，针对 Bybit 的攻击是对中心化机构冷钱包存储流程的一次有条不紊的渗透。

攻击向量： 攻击者利用了 Bybit 用于管理钱包备份的第三方存储解决方案中的一个零日漏洞。与此同时，他们还针对 Bybit 的 DevOps 团队开展了长达数月的网络钓鱼攻击。
机制： 通过破坏多重签名（multisig）授权工作流，Lazarus 的操作者能够以合法管理员的身份签署非法交易。
洗钱： 在 48 小时内，超过 1.6 亿美元的资金通过去中心化交易所 (DEX) 流入新一代未受制裁的混币器，引发市场恐慌，导致比特币价格出现 20% 的闪崩。

战略影响： 仅此一次劫案所提供的资金，就相当于朝鲜数年年度导弹测试预算的估计总额。情报分析人员评估认为，这些资金被直接拨用于 2026 年朝鲜民主主义人民共和国（DPRK）固体燃料洲际弹道导弹（ICBM）库存的扩张计划。

“梦想工作”行动（Operation DreamJob）与国防供应链

在财务团队（BlueNoroff）袭击交易所的同时，间谍单位（Lazarus Core/Andariel）正在执行 “梦想工作”行动 。该行动通过虚假的工作邀约，瞄准航空航天和国防领域的工程师及高管。

针对欧洲无人机制造商

在整个 2025 年期间，ESET 的研究人员记录了一场针对欧洲无人机（UAV）制造商的密集攻击行动。

诱饵： 攻击者在 LinkedIn 上冒充空客（Airbus）或波音（Boeing）等巨头的招聘人员联系受害者，并向其发送 PDF 或 ISO 格式的职位说明。
恶意软件： 这些文件被植入了 ScoringMathTea，这是一种复杂的远程访问木马（RAT）。文件一旦被打开，就会通过 DLL 侧加载（例如劫持 MuPDF 等合法的 PDF 阅读器）执行隐藏的有效负载。
目标： 窃取单旋翼和固定翼无人机的专有设计蓝图。这些情报符合朝鲜现代化其无人机机队的紧迫需求，可能用于在乌克兰战场与俄罗斯军队协同部署，或针对韩国构成非对称威胁。

技术焦点：ScoringMathTea

ScoringMathTea 恶意软件体现了该组织不断进化的攻击手段。

加密： 它利用带有自定义 64 字符字母表的滚动替换密码来加密网络流量，使标准的入侵检测系统 (IDS) 签名失效。
隐蔽性： 该恶意软件长时间仅驻留在内存中，并利用被入侵的正规网站（如 WordPress 博客）作为命令与控制 (C2) 服务器，以混入正常的网络流量中。

深度伪造的前沿：2025 年 6 月 Zoom 事件

在社会工程学的一次令人不寒而栗的演变中，BlueNoroff 子小组于 2025 年 6 月部署了 AI 驱动的深度伪造技术。

事件回顾： 一家加密货币公司的员工受邀参加了一场 Zoom 会议，参会人员看似是该公司的首席财务官（CFO）及其他高管。
骗局： 这些“高管”是利用 AI 生成的虚拟形象，并克隆了声音和面部。他们指示该员工下载一个“协议更新”，以修复会议中的音频故障。
有效载荷： 下载的内容是一个恶意的 AppleScript，它在员工的 macOS 设备上安装了一个后门，绕过了苹果的 Gatekeeper 安全机制。

这一事件标志着社会工程学从基于文本的形式向实时视听操纵的转变，显著提高了企业安全意识培训的门槛。

运营基础设施与战术、技术及规程 (TTPs)

Lazarus Group 的韧性源于其灵活多变的基础设施和多样化的工具包。

“隐藏控制面板”

SecurityScorecard 及其他厂商在 2025 年初进行的最新取证分析揭示了 Lazarus 操作者使用的一套集中管理系统。

架构： 该基于 Web 的控制面板采用 React 和 Node.js 构建，允许操作者同时管理数百台受感染的受害者机器。
功能： 它提供了一个图形用户界面（GUI），用于上传文件、执行 Shell 命令以及管理窃取的数据。这种命令与控制（C2）基础设施的“产品化”趋势表明，其正向高效化和规模化转型，使技能较低的操作者也能管理复杂的入侵活动。

零日漏洞的获取与开发

该组织已不再仅仅依赖已知漏洞（N-day）。在 2024 年和 2025 年，据观察，他们利用了多个零日漏洞：

Google Chrome V8 引擎： CVE-2024-7971 和 CVE-2025-13223 等漏洞允许攻击者仅通过诱导目标访问受损网站即可实现远程代码执行（RCE）。
Windows 内核： 针对 Windows AppLocker 驱动程序（appid.sys）的漏洞利用使他们能够绕过安全控制并获得系统级权限。

供应链投毒

Lazarus 集团一直在积极针对软件供应链发起攻击，以渗透那些难以直接攻破的目标。

NPM 和 PyPI： 在整个 2025 年期间，该组织向开源仓库投放了大量恶意软件包，并将其伪装成加密货币库（例如 fernet-decrypt 或 web3-util）。安装了这些包的开发人员在无意中为自己的应用程序留下了后门。
企业软件： 继 3CX 供应链攻击事件之后，他们在 2023 年底瞄准了讯连科技（CyberLink），篡改了 PowerDVD 软件的正版安装程序，在其中植入了恶意软件加载器。这使得他们能够利用受信任软件供应商的签名进行“搭便车”式攻击。

战略展望：2026 年及以后

当我们展望 Lazarus 小组到 2026 年的活动时，地缘政治结盟、技术进步和经济需求的交织呈现出一幅令人担忧的图景。

“AI 原生”威胁行为者

2025 年深度伪造（deepfakes）的成功部署仅仅是先锋。我们预测，到 2026 年，Lazarus Group 将实现 AI 赋能社会工程学的工业化。

自动化招募：LLMs 将被部署用于在 LinkedIn 和 Telegram 上同时与数千个目标进行初步的建立关系对话，使“梦职行动”（Operation DreamJob）的规模提升一个数量级。
实时翻译： 改进的 AI 翻译将消除以往有助于识别朝鲜操作员的语言“破绽”（生硬的措辞、语法错误），使他们的诱饵信息与母语使用者的表达无异。

大规模杀伤性武器（WMD）融资与 2026 年导弹计划表

情报预测显示，2026 年将是朝鲜战略武器计划的关键一年，届时可能测试新一代潜射弹道导弹（SLBM）和战术核弹头。

营收目标： 为了资助这些资本密集型项目，拉撒路集团（Lazarus Group）的任务目标可能被设定为每年创收 20 亿美元以上。
目标转移： 我们预计攻击重点将转向 Layer-2 加密货币协议和机构级托管服务商，因为这些实体汇集了规模最大的资金池。

俄罗斯-朝鲜网络轴心

莫斯科与平壤之间不断加深的军事合作很可能会延伸至网络领域。

技术共享： 俄罗斯可能会向朝鲜提供先进的漏洞利用开发能力或僵尸网络基础设施的访问权限，以换取常规弹药。
协同攻击： 我们可能会看到 Lazarus 的操作人员针对北约的物流和能源基础设施进行侦察，以支持俄罗斯在欧洲的战略目标，从而有效地充当代理人力量。

供应链饱和

在 3CX 和 CyberLink 攻击案例中取得成功后，该组织很可能会将目标转向“开发运维（DevOps）”流水线本身。

CI/CD 攻击： 攻破持续集成/持续部署（CI/CD）服务器（如 Jenkins 或 GitHub Actions），在软件更新被签名并发送给客户之前，向其中注入恶意代码。
钱包 SDK： 针对加密货币钱包软件的开发者，引入可能在数月或数年后被利用的漏洞。

结论

Lazarus 小组已经改变了网络战争的格局。它证明了一个被孤立和制裁的国家行为体，可以利用互联网规避全球金融秩序，并为核武库提供资金。该组织从 WannaCry 时期笨拙的混乱，演变到 Bybit 劫案的精准打击，再到深伪语音网络钓鱼（deepfake vishing）的复杂手段，展示了一个能够针对防御措施快速调整的进取型组织。

对于防御者而言，其影响是严峻的。威胁不再仅仅是恶意代码，而是对信任的全面攻击——对员工的信任、对软件更新的信任以及对数字通信的信任。随着我们迈向 2026 年，对抗 Lazarus 小组不仅需要技术上的修复，还需要协调一致的地缘政治策略，以破坏其洗钱网络，并让该政权的网络犯罪基础设施付出真实代价。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报《朝鲜网络战机构全面情报档案 (2009–2026)》