从索尼到 Bybit：Lazarus Group 如何成为加密领域的超级反派

作者：YohanYun来源：cointelegraph翻译：善欧巴，金色财经

自2017年以来，LazarusGroup已窃取了超过60亿美元的Crypto，成为业内最臭名昭著的黑客集团。

LazarusGroup并非偶尔涉足黑客世界，它经常是重大Crypto盗窃案件的主要嫌疑人。这个由朝鲜政府支持的集团通过从交易所窃取数十亿美元、欺骗开发者并绕过行业中最复杂的安全措施，已成为全球最具威胁性的黑客组织之一。

2025年2月21日，它实现了至今为止最大的盗窃——从Crypto交易所Bybit窃取创纪录的14亿美元。加密侦探ZachXBT在将Bybit攻击与Phémex交易所8500万美元的黑客事件关联后，确认Lazarus是主要嫌疑人。他还将黑客攻击与BingX和Poloniex的漏洞事件联系起来，进一步增加了指向朝鲜网络军队的证据。

根据安全公司Elliptic的数据，自2017年以来，Lazarus集团已从Crypto行业盗取约60亿美元。联合国安理会的一项研究报告指出，这些被盗资金据信用于资助朝鲜的武器计划。

作为历史上最为活跃的网络犯罪组织之一，该组织的涉嫌操作人员和手段揭示了一个高度复杂的跨国运营，旨在为朝鲜政权服务。谁在幕后操控Lazarus？它是如何成功实施Bybit黑客攻击的？它还采用了哪些方法，造成了持续的威胁？

Jon专门开发并传播恶意Crypto应用程序，渗透交易所和金融机构，实施大规模盗窃。Kim则负责分发恶意软件、协调与加密相关的盗窃活动，并策划了虚假的MarineChain*I*C*O。Lazarus集团的最大黑客事件是如何发生的

据朝鲜官方媒体报道，就在Bybit黑客攻击发生前几周，朝鲜领导人金正恩视察了一处核材料生产设施，并呼吁扩展该国的核武库，超越当前的生产计划。

2月15日，美国、韩国和日本发表联合声明，重申他们致力于朝鲜无核化。平壤迅速在2月18日驳斥该声明，称其“荒谬”，并再次誓言增强核力量。

三天后，Lazarus集团再次出手。

在安全圈内，Lazarus的作案手法通常能在官方调查确认其参与之前就被识别出来。

“在Bybit的ETH刚刚转出后的几分钟内，我就能自信地在私下里说，这与朝鲜有关，因为他们在链上的指纹和TTP（战术、技术和程序）过于独特。”——加密保险公司FairsideNetwork的调查负责人Fantasy在接受Cointelegraph采访时表示。

“他们会将ERC-20资产拆分到多个钱包，立即以次优方式抛售Tokens，导致高额交易费或滑点，然后再将ETH以大额、整齐的数额转入新创建的钱包。”

在Bybit攻击事件中，黑客精心策划了一次复杂的网络钓鱼攻击，以突破Bybit的安全系统，并欺骗交易所授权转移401,000枚Ethereum（ETH），价值14亿美元，到他们控制的钱包。根据Blockchain取证公司Chainalysis的分析，攻击者通过伪装成Bybit钱包管理系统的假冒版本，直接获取了交易所资产的访问权限。

资金被盗后，黑客立即启动了*洗*钱操作，将资产分散到多个中间钱包。Chainalysis的调查人员发现，部分被盗资金被转换为Bitcoin（BTC）和Dai（DAI），利用DEX、跨链桥以及无KYC的Tokens兑换服务，例如eXch——尽管整个行业对Bybit黑客事件进行了干预，该平台仍拒绝冻结与该攻击相关的*非*法资金。eXch否认为朝鲜*洗*钱。

尽管这些高调的盗窃事件占据了头条新闻，朝鲜黑客也掌握了长期诈骗的技巧——这种策略提供了稳定的现金流，而不是依赖一次性的意外收获。

他们针对每个人、任何东西，任何金额。具体来说，Lazarus专注于这些大型复杂的黑客攻击，如Bybit、Phemex和Alphapo，但他们也有较小的团队，进行低价值和更多手动密集的工作，如恶意的[或]假招聘面试。

微软威胁情报部门已确认一个名为“SapphireSleet”的朝鲜威胁小组，称其为Crypto盗窃和公司渗透的关键玩家。该名字延续了微软基于天气的分类法，“sleet”表示与朝鲜的联系。除此之外，这个小组更广为人知的是Bluenoroff，Lazarus的一个子小组。

他们伪装成风险资本家和招聘人员，诱使受害者参与虚假的工作面试和投资*骗*局，部署恶意软件来窃取加密钱包和财务数据，在六个月内赚取超过1000万美元。

朝鲜还将成千上万的IT人员部署到俄罗斯、中国及其他地区，利用AI生成的个人资料和被盗身份获得高薪技术职位。一旦进入，这些黑客就会盗取知识产权、勒索雇主，并将收益汇入政权。微软泄露的朝鲜数据库揭示了虚假的简历、欺诈账户和支付记录，揭示了一个复杂的操作，使用AI增强的图像、变声软件和身份盗窃来渗透全球企业。

2024年8月，ZachXBT揭露了一个由21名朝鲜开发者组成的网络，他们通过将自己嵌入加密初创公司，每月赚取50万美元。

2024年12月，圣路易斯的一个联邦法院解封了对14名朝鲜国籍人士的起诉书，指控他们违反制裁、进行电汇欺诈、*洗*钱和身份盗窃。

这些人曾在朝鲜控制的公司YanbianSilverstar和VolasysSilverstar工作，这些公司在中国和俄罗斯运作，骗取公司聘用他们进行远程工作。

在六年内，这些工作人员至少赚取了8800万美元，其中一些被要求为政权每月赚取10,000美元。

迄今为止，朝鲜的网络战战略仍然是世界上最复杂和最有利可图的行动之一，据称将数十亿美元转入政权的武器计划。尽管执法机关、情报机构和Blockchain调查人员的审查力度不断增加，Lazarus集团及其子小组仍在不断适应，完善其战术以逃避侦测，并维持*非*法的收入来源。

随着创纪录的加密盗窃、对全球科技公司的深入渗透以及日益扩大的IT操作员网络，朝鲜的网络操作已经成为长期的国家安全威胁。美国政府的多机构打击行动，包括联邦起诉和数百万美元的悬赏，标志着对破坏平壤金融管道的努力正在加剧。

但正如历史所证明的那样，Lazarus是无情的；朝鲜网络军队带来的威胁远未结束。