根据独立研究,朝鲜黑客组织正在利用自由职业 IT 工作的诱惑来获取云系统的访问权限,并窃取成百上千万美元的加密货币价值。这项研究是由谷歌云与安全公司Wiz联合展开的。
谷歌云的2025 年下半年云威胁展望报告透露,谷歌威胁情报小组正在“积极追踪”朝鲜黑客组织 UNC4899,该组织通过社交媒体联系员工后成功入侵了两家公司。
在这两起案件中,UNC4899 都向员工布置了任务,导致员工在工作站上运行恶意软件,从而使黑客组织能够在其指挥和控制中心与目标公司的云系统之间建立连接。
因此,UNC4899 能够探索受害者的云环境,获取凭证材料并最终识别负责处理加密交易的主机。
虽然每起事件都针对不同的(未具名)公司和不同的云服务(Google Cloud 和 AWS),但都导致“价值数百万的加密货币”被盗。
谷歌威胁情报集团欧洲首席威胁情报顾问 Jamie Collier 表示,朝鲜黑客利用工作诱惑进行攻击现在“相当普遍”,反映出相当程度的复杂程度。解密.
“他们在联系目标人物时经常假扮为招聘人员、记者、领域专家或大学教授,”他说道,并补充说,他们经常来回沟通几次以与目标人物建立融洽的关系。
迅速行动科利尔解释说,朝鲜威胁行为者是首批迅速采用人工智能等新技术的人之一,他们利用这些技术制作“更有说服力的建立融洽关系的电子邮件”并编写恶意脚本。
云安全公司 Wiz 也报道了 UNC4899 的攻击行为,并指出该组织还被称为 TraderTraitor、Jade Sleet 和 Slow Pisces。
Wiz 表示,TraderTraitor 代表的是某种类型的威胁活动,而非某个特定的团体,朝鲜支持的实体 Lazarus Group、APT38、BlueNoroff 和 Stardust Chollima 都是典型的 TraderTraitor 攻击的幕后黑手。
在 其分析UNC4899/TraderTraitor 的 Wiz 指出,这些活动早在 2020 年就开始了,从一开始,负责任的黑客组织就利用工作诱惑来诱骗员工下载基于 JavaScript 和Node.js使用 Electron 框架。
Wiz 表示,该组织在 2020 年至 2022 年期间的攻击活动“成功入侵了多个组织”,其中包括 Lazarus Group 的6.2亿美元违反 Axie Infinity 的 Ronin 网络。
TraderTraitor 威胁活动随后在 2023 年进一步发展,开始使用恶意开源代码;而在 2024 年,其虚假招聘活动更是增加了一倍,主要针对的是交易所。
最值得注意的是,TraderTraitor 组织对3.05亿美元黑客攻击日本 DMM 比特币的攻击,以及 2024 年底价值 15 亿美元的 Bybit 黑客攻击,交换今年二月披露。
瞄准云计算与谷歌强调的漏洞一样,这些黑客攻击在不同程度上针对了云系统,并且根据 Wiz 的说法,此类系统对于加密技术来说是一个重大漏洞。
Wiz 战略威胁情报总监 Benjamin Read 表示:“我们认为 TraderTraitor 专注于与云相关的漏洞和技术,因为那里有数据,因此也有钱。”解密“对于加密行业来说尤其如此,因为该行业的公司较新,并且可能以云优先的方式构建其基础设施。”
里德解释说,针对云技术使黑客组织能够影响广泛的目标,从而增加赚取更多钱财的可能性。
他说,这些团伙生意很大,“到 2025 年为止,估计窃取的加密货币价值已达 16 亿美元”,并补充说,TraderTraitor 和相关团伙的员工“可能有数千人”,他们在众多团伙中工作,有时团伙之间还会有重叠。
“虽然很难给出一个具体的数字,但很明显朝鲜政权正在为这些能力投入大量资源。”
最终,这种投资使朝鲜成为加密黑客领域的领导者,2 月份 TRM Labs报告调查结果显示,该国占去年所有被盗资金的 35%。
专家表示,所有迹象都表明,该国在未来一段时间内可能仍会继续参与加密相关的黑客攻击,尤其是考虑到该国特工开发新技术的能力。
谷歌的科利尔表示:“朝鲜威胁行为者是一支充满活力且敏捷的力量,他们不断调整以满足该政权的战略和财务目标。”
科利尔重申朝鲜黑客越来越多地利用人工智能,并解释说这种利用可以实现“力量倍增”,从而使黑客能够扩大他们的攻击规模。
他说:“我们没有看到任何放缓的迹象,预计这种扩张将会持续下去。”