作者：YohanYun來源：cointelegraph翻譯：善歐巴，金色財經

自2017年以來，LazarusGroup已竊取了超過60億美元的Crypto，成為業內最臭名昭著的黑客集團。

LazarusGroup并非偶爾涉足黑客世界，它經常是重大Crypto盜竊案件的主要嫌疑人。這個由朝鮮政府支持的集團通過從交易所竊取數十億美元、欺騙開發者并繞過行業中最復雜的安全措施，已成為全球最具威脅性的黑客組織之一。

2025年2月21日，它實現了至今為止最大的盜竊——從Crypto交易所Bybit竊取創紀錄的14億美元。加密偵探ZachXBT在將Bybit攻擊與Phémex交易所8500萬美元的黑客事件關聯后，確認Lazarus是主要嫌疑人。他還將黑客攻擊與BingX和Poloniex的漏洞事件聯系起來，進一步增加了指向朝鮮網絡軍隊的證據。

根據安全公司Elliptic的數據，自2017年以來，Lazarus集團已從Crypto行業盜取約60億美元。聯合國安理會的一項研究報告指出，這些被盜資金據信用于資助朝鮮的武器計劃。

作為歷史上最為活躍的網絡犯罪組織之一，該組織的涉嫌操作人員和手段揭示了一個高度復雜的跨國運營，旨在為朝鮮政權服務。誰在幕后操控Lazarus？它是如何成功實施Bybit黑客攻擊的？它還采用了哪些方法，造成了持續的威脅？

Jon專門開發并傳播惡意Crypto應用程序，滲透交易所和金融機構，實施大規模盜竊。Kim則負責分發惡意軟件、協調與加密相關的盜竊活動，并策劃了虛假的MarineChain*I*C*O。Lazarus集團的最大黑客事件是如何發生的

據朝鮮官方媒體報道，就在Bybit黑客攻擊發生前幾周，朝鮮領導人金正恩視察了一處核材料生產設施，并呼吁擴展該國的核武庫，超越當前的生產計劃。

2月15日，美國、韓國和日本發表聯合聲明，重申他們致力于朝鮮無核化。平壤迅速在2月18日駁斥該聲明，稱其“荒謬”，并再次誓言增強核力量。

三天后，Lazarus集團再次出手。

在安全圈內，Lazarus的作案手法通常能在官方調查確認其參與之前就被識別出來。

“在Bybit的ETH剛剛轉出后的幾分鐘內，我就能自信地在私下里說，這與朝鮮有關，因為他們在鏈上的指紋和TTP（戰術、技術和程序）過于獨特。”——加密保險公司FairsideNetwork的調查負責人Fantasy在接受Cointelegraph采訪時表示。

“他們會將ERC-20資產拆分到多個錢包，立即以次優方式拋售Tokens，導致高額交易費或滑點，然后再將ETH以大額、整齊的數額轉入新創建的錢包。”

在Bybit攻擊事件中，黑客精心策劃了一次復雜的網絡釣魚攻擊，以突破Bybit的安全系統，并欺騙交易所授權轉移401,000枚Ethereum（ETH），價值14億美元，到他們控制的錢包。根據Blockchain取證公司Chainalysis的分析，攻擊者通過偽裝成Bybit錢包管理系統的假冒版本，直接獲取了交易所資產的訪問權限。

資金被盜后，黑客立即啟動了*洗*錢操作，將資產分散到多個中間錢包。Chainalysis的調查人員發現，部分被盜資金被轉換為Bitcoin（BTC）和Dai（DAI），利用DEX、跨鏈橋以及無KYC的Tokens兌換服務，例如eXch——盡管整個行業對Bybit黑客事件進行了干預，該平臺仍拒絕凍結與該攻擊相關的*非*法資金。eXch否認為朝鮮*洗*錢。

盡管這些高調的盜竊事件占據了頭條新聞，朝鮮黑客也掌握了長期詐騙的技巧——這種策略提供了穩定的現金流，而不是依賴一次性的意外收獲。

他們針對每個人、任何東西，任何金額。具體來說，Lazarus專注于這些大型復雜的黑客攻擊，如Bybit、Phemex和Alphapo，但他們也有較小的團隊，進行低價值和更多手動密集的工作，如惡意的[或]假招聘面試。

微軟威脅情報部門已確認一個名為“SapphireSleet”的朝鮮威脅小組，稱其為Crypto盜竊和公司滲透的關鍵玩家。該名字延續了微軟基于天氣的分類法，“sleet”表示與朝鮮的聯系。除此之外，這個小組更廣為人知的是Bluenoroff，Lazarus的一個子小組。

他們偽裝成風險資本家和招聘人員，誘使受害者參與虛假的工作面試和投資*騙*局，部署惡意軟件來竊取加密錢包和財務數據，在六個月內賺取超過1000萬美元。

朝鮮還將成千上萬的IT人員部署到俄羅斯、中國及其他地區，利用AI生成的個人資料和被盜身份獲得高薪技術職位。一旦進入，這些黑客就會盜取知識產權、勒索雇主，并將收益匯入政權。微軟泄露的朝鮮數據庫揭示了虛假的簡歷、欺詐賬戶和支付記錄，揭示了一個復雜的操作，使用AI增強的圖像、變聲軟件和身份盜竊來滲透全球企業。

2024年8月，ZachXBT揭露了一個由21名朝鮮開發者組成的網絡，他們通過將自己嵌入加密初創公司，每月賺取50萬美元。

2024年12月，圣路易斯的一個聯邦法院解封了對14名朝鮮國籍人士的起訴書，指控他們違反制裁、進行電匯欺詐、*洗*錢和身份盜竊。

這些人曾在朝鮮控制的公司YanbianSilverstar和VolasysSilverstar工作，這些公司在中國和俄羅斯運作，騙取公司聘用他們進行遠程工作。

在六年內，這些工作人員至少賺取了8800萬美元，其中一些被要求為政權每月賺取10,000美元。

迄今為止，朝鮮的網絡戰戰略仍然是世界上最復雜和最有利可圖的行動之一，據稱將數十億美元轉入政權的武器計劃。盡管執法機關、情報機構和Blockchain調查人員的審查力度不斷增加，Lazarus集團及其子小組仍在不斷適應，完善其戰術以逃避偵測，并維持*非*法的收入來源。

隨著創紀錄的加密盜竊、對全球科技公司的深入滲透以及日益擴大的IT操作員網絡，朝鮮的網絡操作已經成為長期的國家安全威脅。美國政府的多機構打擊行動，包括聯邦起訴和數百萬美元的懸賞，標志著對破壞平壤金融管道的努力正在加劇。

但正如歷史所證明的那樣，Lazarus是無情的；朝鮮網絡軍隊帶來的威脅遠未結束。