北韩黑客暴增 51%！年窃取 20 亿美元，中文洗钱网曝光

Chainalysis 最新报告显示，2025 年全球加密货币遭窃金额约 34 亿美元，其中至少 20.2 亿美元来自北韩相关攻击行动，较 2024 年暴增 51%（增加约 6.81 亿美元），创下历史新高。北韩黑客占所有黑客入侵事件的 76%，累计至今已窃取至少 67.5 亿美元加密资产。

北韩黑客霸占全球加密窃案 76% 的统治地位

（来源：Chainalysis）

2025 年已成为北韩发动加密货币盗窃行动以来最严重的一年，相关攻击占所有黑客入侵事件的 76%，创下历史新高。这一占比极为惊人，意味着全球每 4 起加密货币窃案中，就有 3 起与北韩有关。这种统治地位并非偶然，而是北韩国家级网军长期投入和技术积累的结果。

20.2 亿美元的不法所得，对北韩而言具有战略意义。根据国际估算，北韩年度 GDP 约 200-300 亿美元，这意味着黑客窃取的资金相当于其 GDP 的 6-10%。在联合国制裁切断大部分正常贸易管道后，加密货币盗窃已成为北韩获取外汇的主要来源之一，这些资金被用来支持其核武器和弹道导弹计划。

51% 的年增长率显示北韩黑客的能力正在快速提升。这种提升不仅体现在技术层面，更体现在攻击策略的精密化。从早期的粗暴钓鱼攻击，到如今的多阶段社交工程、供应链渗透和内部人员植入，北韩黑客已经发展出一套成熟的攻击方法论。

北韩黑客 2025 年攻击数据

总窃取金额：20.2 亿美元，占全球加密窃案 76%，较 2024 年暴增 51%

累计历史窃取：67.5 亿美元，从 2017 年开始至今，平均每年约 8.4 亿美元

单笔最大案件：大型 CEX 交易所 15 亿美元，占 2025 年北韩总窃取额的 74%

Lazarus Group 被普遍认为与平壤侦察总局（RGB）关系密切，仅在 2020 至 2023 年间，便通过至少 25 起加密货币窃盗案获得超过 2 亿美元不法所得。这个组织过去十多年持续针对金融机构与加密货币平台发动网络攻击，并被怀疑涉及上月自韩国最大加密货币交易所 Upbit 窃取约 3600 万美元资产的事件。

中心化交易所 15 亿美元事件与双线渗透策略

报告显示，今年 2 月发生的 CEX 交易所遭黑客事件，是北韩单笔金额最高的攻击行动，造成约 15 亿美元损失。该事件归因于名为 TraderTraitor 的威胁组织，也被称为 Jade Sleet 或 Slow Pisces。安全公司 Hudson Rock 随后指出，一台感染 Lumma Stealer 恶意程序的电脑，与该次攻击所使用的基础设施存在关联。

CEX 遭黑客事件的攻击手法极为精密。黑客并非直接攻击交易所的冷钱包系统，而是通过社交工程渗透交易所员工，获取内部系统访问权限。一旦进入内部网络，黑客横向移动至关键系统，最终获得私钥管理权限。这种攻击链条涉及多个阶段，每个阶段都需要高度专业的技术和耐心。

除直接入侵交易所外，北韩黑客亦长期进行名为「梦想工作职业」（Operation Dream Job）的社交工程攻击。他们通过 LinkedIn、WhatsApp 等平台，假冒招聘人员，以高薪职位为诱饵接触国防、科技、航空与制造业从业者，诱使目标下载并执行恶意软件，借此窃取敏感资料或建立长期渗透管道。

另一项策略则是所谓的「Wagemole」行动。北韩相关人员以假身份应聘海外企业的信息科技职位，或通过幌子公司渗透企业内部，取得系统与加密服务的访问权限，进而发动高影响力攻击。Chainalysis 指出，这种手法能加快黑客在大规模窃盗前的横向移动与初始访问速度，可能是今年损失金额创新高的重要原因之一。

美国司法部宣布马里兰州一名 40 岁男子因协助北韩人员冒用身份从事 IT 工作而遭判刑。调查显示，该名被告允许居住于中国沈阳的北韩公民使用其身份，在多家美国企业及政府机构任职，并于 2021 至 2024 年间获取近百万美元报酬。这个案例揭示了 Wagemole 行动的实际运作模式。

中文洗钱网络的三阶段资金转移

在资金处理方面，被盗加密资产通常会通过一套结构化的多阶段洗钱流程进行转移。报告指出，北韩黑客大量使用 Professional Chinese-Language Money Laundering Service（专业中文洗钱服务）与 OTC（场外交易），显示与中文地区地下金融网络关系密切。

第一阶段于攻击后数日内，利用去中心化金融协议与混币服务迅速分流资金。这个阶段的目标是快速切断被盗资金与原始地址的直接关联。黑客会将大额资金拆分成数千个小额转账，透过 Tornado Cash 等混币器和多个 DeFi 协议进行多跳转移，使追踪难度呈指数级增长。

第二阶段则通过交易所、跨链桥与次级混币服务进行初步整合。资金从以太坊转移到 BSC、Tron 等其他链，利用跨链桥接的复杂性进一步混淆追踪路径。部分资金会流入支持较弱 KYC 的小型交易所，兑换成其他加密货币或稳定币。

最后在约 20 至 45 天内，将资金兑换为法币或其他资产。这个阶段是最关键也最危险的，因为加密货币要变成可用的法币，必须与传统金融系统接触。北韩黑客主要依赖中文地区的 OTC 商家和地下钱庄，这些中介提供大额的加密货币兑换法币服务，并通过复杂的银行网络将资金最终转移到北韩控制的账户。

「中文系统」的高度联动引起美国司法单位关切。这暗示中国大陆、香港、台湾或东南亚华人社群中的某些地下金融网络，正在为北韩提供关键的洗钱服务。这种跨国犯罪网络的复杂性，使执法机构的追踪和打击工作极为困难。

安全专家警告，北韩相关威胁行为正不断调整策略，从直接入侵系统，转向更隐蔽且难以察觉的人员渗透与平台滥用手法。随着加密货币与远端工作的普及，相关风险恐将持续升高，成为各国监管与企业资安防护的重大挑战。