这名 34 岁的嫌疑人仅被披露姓氏为 “G 先生”，于 2025 年 8 月 22 日从泰国曼谷被遣返回韩国。此前，韩国开展了为期四个月的国际追捕行动，最终将其逮捕 —— 该嫌疑人涉嫌从受害者的金融账户及虚拟资产账户中窃取超过 380 亿韩元（约合 2850 万美元）。 这个犯罪组织主要在泰国等海外地区设立办公点运作，于 2023 年 8 月至 2024 年 1 月期间实施了一系列复杂的多向量攻击行动。 该组织的核心作案手法是入侵移动运营商网站及其他网络平台，窃取富豪、名人、企业高管及风险投资公司代表的个人信息。

黑客利用这些被盗数据，未经授权访问受害者的银行账户和加密货币钱包，在数月时间里系统性地转移资产，且未被发现。

初步调查显示，该组织使用的恶意软件结合了复杂的社会工程学手段与针对 Web 应用漏洞的技术利用。

韩国法务部（Moj.go.kr）分析师指出，这种攻击模式是 “自动化工具与人工操作协同配合” 的结果 —— 既最大限度地窃取资金，又规避传统安全监控系统的检测。

（黑客被捕现场图，来源：韩国法务部官网 Moj.go.kr） 此次攻击行动的技术复杂性，从其 “多阶段感染机制” 中可见一斑 —— 该机制在很大程度上依赖于对移动运营商认证系统漏洞的利用。

恶意软件最初通过已被攻陷的门户网站侵入：攻击者在这些网站中注入恶意脚本，用于窃取用户凭证和会话令牌。

侵入网络边界后，恶意代码会通过加密通信通道建立持久化后门，以维持对目标系统的长期控制。

该威胁行为者采用的持久化策略，体现出其对系统管理和网络安全协议的深入了解。

恶意软件通过 “修改注册表” 与 “创建计划任务” 相结合的方式，确保即使系统重启，自身仍能持续运行。

代码分析显示，攻击者使用了经过混淆处理的 PowerShell 脚本 —— 这些脚本定期执行，检查网络连接状态，并动态更新命令与控制（C2）服务器地址。

$encoded = [System.Convert]::FromBase64String($data)
$decoded = [System.Text.Encoding]::UTF8.GetString($encoded)
Invoke-Expression $decoded

该恶意软件的 “反检测机制” 包含多种反分析技术，如环境检测、沙箱识别、运行时加壳等。

此外，恶意软件会不断修改自身文件特征，并采用 “靠岸生存”（Living-off-the-Land）技术 —— 利用 PowerShell、Windows 管理规范（WMI）等合法系统工具执行恶意操作，使其伪装成正常系统进程。

此次引渡成功是国际网络犯罪合作的重大胜利。韩国当局与泰国官方、国际刑警组织（Interpol）及东南亚合作网络（Southeast Asia Cooperation Network）密切协作，在嫌疑人入境泰国仅四个月内便完成了追踪与逮捕工作。 （注：“Moj.go.kr” 为韩国法务部官方网站域名，中文标准译法为 “韩国法务部”；“Living-off-the-Land” 是网络安全领域专业术语，指攻击者利用目标系统中已有的合法工具 / 程序实施攻击，中文通常译为 “靠岸生存技术” 或 “就地取材攻击技术”；“380 亿韩元” 按当时汇率折算约合 2850 万美元，为便于中文读者理解，译文同步标注了美元金额。）