朝鲜黑客组织Lazarus过去一年主导全球网络威胁:盗窃数十亿美元,定向钓鱼成首选攻击手法
网络安全公司AhnLab于2025年11月26日发布的《2025年网络威胁趋势及2026年安全展望》报告显示,朝鲜背景的黑客组织Lazarus在过去12个月(2024年10月至2025年9月)已成为全球最具威胁性的先进持久威胁(APT)团体。该组织被指控主导至少31起网络攻击事件,位居APT团体提及频率首位,实际攻击数量可能更高,因为其采用高度隐蔽的战术和技术以规避检测。这些攻击主要针对加密货币、金融、信息技术和国防领域,累计盗窃资金规模达数十亿美元,凸显其作为国家支持的网络犯罪实体的专业化和系统性。
Lazarus的最常用攻击手法为定向钓鱼(spear phishing),这是一种针对特定个人的精准社会工程学攻击。通过伪装成讲座邀请、面试请求或官方通知的电子邮件,该组织诱导目标用户开启恶意附件或点击嵌入链接,从而植入恶意软件、窃取凭证或实现远程控制。报告指出,这种方法在过去一年中被广泛用于情报收集和资金盗取,例如伪造军事ID图像并嵌入ZIP文件,以增强诱饵的真实性。AhnLab分析显示,Lazarus的钓鱼攻击效率极高,尤其在加密货币行业中,通过个性化研究和伪造内容,成功率显著高于传统钓鱼。 此外,该组织还结合恶意软件部署和供应链攻击,进一步扩大攻击面,例如针对Windows IIS web服务器的入侵,用于作为恶意软件分发点。
报告特别将Lazarus认定为今年2月Bybit交易所黑客攻击事件的主要嫌疑人。该事件发生于2025年2月21日,黑客在Bybit从冷钱包向热钱包转移资金的常规过程中拦截交易,通过篡改多签名钱包界面(Safe{Wallet})伪装合法转账,最终窃取约15亿美元的以太坊(ETH)代币。这是历史上最大规模的加密货币盗窃案,Lazarus随后通过多层钱包转移、跨链桥接和去中心化交易所洗钱,迅速分散资金。FBI于2月26日正式确认Lazarus的责任,并追踪到其与先前Phemex和BingX黑客事件的钱包重叠。 Bybit CEO Ben Zhou表示,该交易所已通过投资者贷款补充损失,并启动“对Lazarus的赏金计划”以追踪资金,但事件暴露了多签名钱包和第三方工具的潜在漏洞。
近期,韩国最大加密交易所Upbit于2025年11月27日遭遇漏洞攻击,损失约445亿韩元(约3000万美元)的Solana相关资产,黑客通过劫持管理员凭证或伪造转账实现异常提款。该事件与2019年Upbit被盗58亿韩元ETH的模式高度相似,当时警方已确认Lazarus和Andariel的涉案。韩国当局计划对Upbit进行现场调查,并冻结部分链上资产,敦amu(Upbit运营商)承诺用自有资金全额补偿用户。AhnLab报告强调,此类攻击凸显Lazarus的高度专业化犯罪能力,包括利用数学漏洞和热钱包弱点。
随着人工智能(AI)技术的普及,网络威胁正变得愈发复杂和高效。AhnLab预测,2026年Lazarus等团体将利用AI生成深度伪造内容、自动化代码变异以规避检测,以及构建更具说服力的钓鱼诱饵,进一步提升攻击精准度。报告建议,企业应建立多层防护体系,包括定期安全审计、及时软件补丁应用、员工网络钓鱼培训以及零信任架构部署。个人用户则需启用多因子认证(MFA)、谨慎处理未知链接和附件,仅从官方渠道下载内容,并定期监控账户异常活动。这些措施有助于有效应对日益精准的定向钓鱼攻击,维护数字资产和信息安全。 国际社会需加强情报共享和跨境合作,以遏制此类国家支持的网络犯罪对全球金融体系的侵蚀。
