朝鲜黑客组织Lazarus Group的活动及其加密货币洗钱手法分析

联合国一份机密报告揭示，朝鲜黑客组织Lazarus Group在2023年3月通过虚拟货币平台洗钱1.475亿美元，这笔资金源自去年对一家加密货币交易所的盗窃行为。

联合国安理会制裁委员会的监察员正在调查2017年至2024年间发生的97起疑似朝鲜黑客针对加密货币公司的网络攻击，涉及金额约36亿美元。其中包括去年年底某加密货币交易所遭遇的1.475亿美元盗窃案，该笔资金随后在今年3月完成洗钱。

2022年，美国对某虚拟货币混合服务实施了制裁。次年，该服务的两名联合创始人被指控协助洗钱超过10亿美元，其中包括与朝鲜相关的网络犯罪组织Lazarus Group的资金。

一位加密货币分析师的调查显示，Lazarus Group在2020年8月至2023年10月期间将价值2亿美元的加密货币转换为法定货币。

Lazarus Group长期以来被指控进行大规模的网络攻击和金融犯罪，其目标遍布全球，涉及银行系统、加密货币交易所、政府机构和私人企业。以下将分析几个典型案例，揭示该组织的作案手法。

Lazarus Group的社会工程学和网络钓鱼攻击

Lazarus Group曾将欧洲和中东的军事和航空航天公司作为目标。他们在社交平台上发布虚假招聘广告，诱骗求职者下载含有恶意程序的PDF文件，从而实施钓鱼攻击。

这种攻击方式利用心理操纵，诱使受害者放松警惕，执行危险操作如点击链接或下载文件，从而危及系统安全。他们的恶意软件能够利用受害者系统中的漏洞窃取敏感信息。

在针对某加密货币支付提供商的为期六个月的攻击中，Lazarus Group采用了类似的方法，导致该公司损失3700万美元。他们向工程师发送虚假工作机会，同时发起分布式拒绝服务等技术攻击，并尝试暴力破解密码。

多起加密货币交易所遭攻击事件

2020年8月至10月，多家加密货币交易所和项目遭受攻击，包括加拿大某交易所、某区块链项目以及某加密资产管理平台。这些攻击导致数十万美元的加密资产被盗。

攻击者将盗取的资金汇集到特定地址，然后通过某混合服务进行洗钱。2021年1月，攻击者在短短几天内存入和提取了数千个以太币。经过多次转移和兑换，这些资金最终汇集到了其他安全事件资金归集的地址，并被发送至特定的存款地址。

某互助保险平台创始人遭黑客攻击

2020年12月，某互助保险平台的创始人个人账户被盗，损失约830万美元的平台代币。攻击者通过一系列地址转移和兑换资金，进行了混淆、分散和归集操作。

部分资金通过跨链到比特币网络，再跨回以太坊网络，之后通过混币平台进行混淆，最后发送至提现平台。2020年12月中旬，攻击者将大量以太币发送至某混合服务，几小时后便开始提款操作。

2021年5月至7月，攻击者将1100万USDT转入某交易平台的存款地址。2023年2月至6月，攻击者又通过特定地址将共计1117万USDT分批发送到两个不同的存款地址。

近期DeFi项目攻击事件

2023年8月，两个DeFi项目遭受攻击，共损失约1500个以太币。攻击者将这些被盗资金转移到某混合服务。随后，资金被提取到多个中间地址，最终汇集到一个统一地址。

2023年11月，这些资金开始被转移，通过中转和兑换，最终发送到了特定的存款地址。

总结

Lazarus Group的洗钱模式呈现出一定规律：在盗取加密资产后，他们通常通过跨链操作和使用混合服务来混淆资金来源。混淆后，资金被提取到目标地址，并发送到固定的地址群进行提现操作。被盗的加密资产主要存入特定的存款地址，然后通过场外交易服务兑换为法币。

面对Lazarus Group持续的大规模攻击，Web3行业面临着严峻的安全挑战。相关机构正在持续跟踪该黑客组织的动态和洗钱手法，以协助项目方、监管和执法部门打击此类犯罪，追回被盗资产。