报告解读｜MSMT 发布《DPRK 通过网络和信息技术工作者活动违反和规避联合国制裁》

近期，多边制裁监测小组(The Multilateral Sanctions Monitoring Team，以下简称“MSMT”) 发布了一份名为《DPRK 通过网络和信息技术工作者活动违反和规避联合国制裁》的报告。该报告系统梳理了朝鲜民主主义人民共和国(DPRK) 利用网络力量、信息技术工作者及加密货币活动，规避联合国制裁、窃取敏感技术并筹集资金的全貌。本文将对报告核心内容进行梳理，帮助读者快速掌握 DPRK 网络威胁的发展趋势和手法变化，从而提升对复杂网络安全威胁的认知和防范能力。

以下内容均来自于 MSMT 发布的报告，慢雾(SlowMist) 仅作翻译与节选，供读者快速了解信息，不代表慢雾(SlowMist) 对报告内容、观点或结论的任何立场。

报告链接：https://msmt.info/Publications/detail/MSMT%20Report/4221

MSMT 旨在监测和报告违反和规避联合国安理会相关决议(UNSCRs) 所规定的制裁措施的行为。MSMT 成员国包括澳大利亚、加拿大、法国、德国、意大利、日本、荷兰、新西兰、韩国、英国和美国，其目标是通过发布基于对制裁违规和规避行为的调查信息，以协助国际社会全面落实联合国对 DPRK 的制裁措施。

报告指出，DPRK 在 2024 年至 2025 年期间持续以国家级体系化方式违反联合国安理会多项决议，通过大规模的网络攻击、加密货币盗窃与跨境洗钱，以及在全球部署信息技术工作者来规避制裁并为其大规模杀伤性武器和弹道导弹项目筹措资金。DPRK 网络能力成熟度接近于网络大国，仅 2024 年就窃取至少 11.9 亿美元加密货币，2025 年前九个月再窃取 16.5 亿美元，部分案件通过全球多地注册的加密货币服务和大量场外交易商完成洗钱。报告还确认 DPRK 在至少八国派遣 IT 工作者，并依赖其境外中间人和金融机构运作资金与身份掩护；同时持续通过恶意软件、供应链入侵和社会工程等手法获取敏感技术。整体来看，几乎所有相关活动均由已被联合国制裁的国家级机构监督并借由海外幌子公司和派驻 IT 人员实施，其全球化的规避制裁网络正在不断扩大。

一、DPRK 网络计划

MSMT 的报告指出，DPRK 的网络力量近年来在组织化、技术能力与跨境行为方面均显著提升，成熟度被认为已接近其他网络大国，主要由多个 APT 组织执行远程渗透、破坏、情报搜集与创收任务，这些组织的规模不断扩大，新的研究中心、联络处和活动集群不断出现，显示出 DPRK 网络体系的系统性扩张。虽然不同单位的技术专长和任务方向有所差异，但网络攻击者与境外 IT 工作者之间的协作愈加紧密，二者在工具开发、技术共享、资金筹集方面呈现明显交叉。

报告梳理了 DPRK 现有网络力量的核心组织框架，大致可归纳为下图：

整体来看，DPRK 网络行动通过境内外多层级结构协同运作，实现从恶意网络活动、IT 外包创收，到跨境洗钱等多重功能。

二、DPRK 加密货币盗窃活动

总体收益与影响

自 2017 年以来，因国内经济压力及国际制裁加剧，DPRK 网络犯罪分子开始将加密货币盗窃作为创收手段。当时加密货币行业正在快速发展但缺乏成熟的监管体系和安全措施，便成为了其攻击的目标。根据 MSMT 成员国、Mandiant 和 Chainalysis 的分析，2024 年 DPRK 窃取了至少价值 11.9 亿美元的加密货币，同比增长约 50 %；2025 年 1 月至 9 月期间已达到 16.45 亿美元，整个 2024 年 1 月至 2025 年 9 月期间总计至少 28 亿美元。

重大案例包括 2025 年 2 月 TraderTraitor 入侵位于迪拜的加密货币交易所 ，窃取近 15 亿美元，为历史上最大规模的加密货币盗窃案。此外，日本 DMM Bitcoin 和印度 WazirX 等交易所也受到重大影响，部分交易所因此停止运营。根据 MSMT 参与国的估算，2024 年加密货币盗窃所得约占 DPRK 外汇收入总额的三分之一，报告中将下列加密货币盗窃案归咎于 DPRK：

这些事件显示出 DPRK 的网络攻击不仅追求直接创收，还通过供应链攻击、第三方服务入侵等手段扩展攻击影响范围，造成企业资产损失和运营中断。

参与的团伙与组织

根据报告，多个 DPRK APT 组织和 IT 从业人员参与了加密货币盗窃，主要包括：

• TraderTraitor（又名 Jade Sleet、UNC4899）

DPRK 最老练的加密货币盗窃团伙，他们利用社会工程学技巧和供应链攻击策略实施大规模盗窃，2024 年 1 月至 2025 年 9 月期间窃取约 25.8 亿美元的加密货币。关键案例包括 DMM Bitcoin、WazirX 及 Bybit 事件，攻击往往通过入侵第三方托管服务获取交易所凭证，从而绕过多因素认证与交易限额等安全机制。

• CryptoCore（又名 Sapphire Sleet、Alluring Pisces）

操作方式与 TraderTraitor 相似，2024 年 1 月至 2025 年 5 月期间窃取至少 3350 万美元，加密货币行业目标包括全球十余国的公司员工。攻击者常使用鱼叉式网络钓鱼攻击，他们不仅会伪装成招聘人员提供看似前景广阔的工作机会，诱骗受害者执行其散布的恶意代码、链接或附件；还会利用恶意  软件包进行技能评估测试，并在社会工程攻击结束后入侵受害者设备。

• Citrine Sleet（又名 AppleJeus、Gleaming Pisces）

以散布植入木马的加密货币相关软件、利用常见互联网基础设施的漏洞以及进行社会工程攻击为主，在 2020 年代初因其 AppleJeus 恶意软件活动而臭名昭著，2024 年知名案例是从 Radiant Capital 窃取 5000 万美元，攻击者精准模拟前承包商身份以获取受害者信任。

• DPRK IT 从业人员

据相关信息，DPRK 的 IT 从业人员也参与了加密货币盗窃活动，包括 2024 年从 Munchables（6250 万美元，最终已追回）、OnyxDAO（380 万美元）、Exclusible Penthouse（82.7 万美元）和 BTCTurk 等项目中盗窃加密货币。Munchables 的案例较为特殊，据悉，黑客在最初的攻击后可能并未做好充分的洗钱准备，且其专长更多集中在智能合约开发而非链上洗钱方面，因此资金被拦截。

攻击方式与手段

DPRK APT 组织和 IT 从业人员使用多样化、高度组织化的手段实施网络攻击，包括：

• 社会工程与鱼叉式钓鱼

近期多起由 DPRK 网络行动者主导的攻击活动显示，其策略已从针对核心研发人员扩展至加密货币产业链中的多类角色，攻击链条愈发环环相扣。其中，“Contagious Interview” 是专门针对软件开发人员的典型攻击活动。该攻击活动最早由 Palo Alto Networks 于 2023 年发现。攻击者冒充招聘软件开发人员的雇主，邀请目标用户参加在线面试，并要求他们下载安装一个软件包，执行后会植入 BeaverTail 恶意软件，用于窃取浏览器中存储的加密钱包和信用卡等敏感数据，并暗中装载 InvisibleFerret 后门，用于远程渗透与持久控制。进入 2025 年，“Contagious Interview” 升级演变为 “ClickFake Interview” 攻击活动，并将目标群体扩大至资产管理、BD 等非技术岗位。攻击者首先通过社交媒体向用户发送一个链接，邀请他们访问第三方网站进行虚假面试。受害者一旦进入该网站，就会被引导完成一系列面试流程。当用户被要求启用摄像头时，会弹出一条错误信息，提示他们需要下载驱动程序来解决问题。此时，攻击者便会利用“” 技术诱导受害者复制运行恶意命令：引导 macOS 用户使用 curl 下载并执行恶意 bash 脚本(coremedia.sh)；引导 Windows 用户下载 ZIP 压缩包(nvidiadrivers.zip)，解压后运行压缩包内的 VBS 脚本(update.vbs)。攻击者还冒用多家公司名称（如 Coinbase、KuCoin、Kraken、Circle、Bybit、Tether、Robinhood、Archblock）来诱骗受害者完成申请流程。与此同时，“Wagemole” 攻击活动则展示了不同的欺骗手段：攻击者利用 ChatGPT 等生成式 AI 批量伪造身份、构建简历、模拟面试回答，以真实 IT 外包人员形象渗透企业内部系统，牟利并实施商业情报窃取。

• 勒索软件与出售窃取的数据

2024 年 1 月至 2025 年 5 月期间，包括 Moonstone Sleet 和 Andariel（又名 Onyx Sleet、Silent Chollima 和 APT 45）在内的组织在全球范围内发动了多起勒索软件攻击。Andariel 的主要任务是进行网络间谍活动，但也会发动勒索软件攻击以直接筹集资金用于其运营开支，例如购置虚拟基础设施。Moonstone Sleet 组织在窃取敏感数据后，还会使用简单的勒索手段，要求受害者向 DPRK 控制的加密货币地址支付赎金。DPRK 网络犯罪分子还会在暗网市场或在线犯罪论坛上出售其在勒索软件和敲诈勒索活动中获取的数据、网络访问权限和漏洞利用程序以获利。

• 与境外网络犯罪分子合作

根据公开报道，DPRK 境内的网络犯罪分子自 2010 年代以来就与境外网络犯罪分子合作。至少从 2025 年 2 月起，与 Moonstone Sleet 有关联的 DPRK 境内网络犯罪分子从一个名为 Qilin（又名 Agenda）的非国家级俄罗斯网络犯罪组织租用勒索软件。2024 年 5 月至 9 月期间，Andariel 组织的黑客被发现使用开源的、已知的恶意软件（例如 Dtrack）入侵受害者系统，并部署 Play 勒索软件。

• 利用人工智能工具

DPRK 网络犯罪分子正在使用大型语言模型() 及生成式 AI，如 ChatGPT 和 DeepSeek，提升鱼叉式钓鱼的真实性、开发恶意软件和自动化入侵手段。

三、DPRK 加密货币洗钱活动

DPRK 网络犯罪分子不仅通过网络攻击窃取加密货币，还需要将赃款洗白为可用资金，以规避加密货币交易所、区块链情报公司和全球执法机构的追踪。在大多数情况下，被盗资产最终通过第三国的场外交易(OTC) 经纪商和中间人网络兑换成现金，用于支持其优先事项。据观察，DPRK 网络犯罪分子常利用多种洗钱工具和平台，包括加密货币混合器、桥接器、去中心化交易所(DEX)、跨链聚合器及点对点(P2P) 交易平台，以掩盖资金来源、分散追踪路径并逃避监管。

洗钱流程

DPRK 网络犯罪分子通常通过复杂的多步骤流程清洗被盗加密货币，根据 MSMT 成员国和私营部门合作伙伴提供的分析，常见的流程如下：

• 兑换(Swap)：主要通过去中心化交易所将窃取的代币兑换成 ETH、BTC 或 DAI，并将这些资产集中存储在非托管钱包中。代币也可能被兑换成 USDT 和其他稳定币，例如 USDD，但通常只维持很短的时间。

• 混合(Mix)：有时会在将代币集中存储在非托管钱包之前快速混合这些代币，例如使用 Wasabi Wallet、CryptoMixer、Tornado Cash、JoinMarket 和 Railgun 等。

• 桥接(Bridge)：使用一系列 Bridges、即时交易所和 P2P 交易平台，将 ETH 兑换成其他加密货币，主要是 BTC。

• 存储(Store)：将资金存储在难以拦截的加密货币（主要是 BTC）中，这些加密货币通常存储在非托管钱包（包括冷钱包）中。

• 再次混合(Mix Again)：有时会再次混合加密货币，通常使用比特币混合器，并将资金发送到非托管钱包。

• 桥接(Bridge)：使用 Bridges 和 P2P 交易平台将混合后的 BTC 兑换成波场上的 TRX。

• 兑换(Swap)：将 TRX 兑换成 USDT，并归集资金以待提现。

• 兑换(Convert)：将 USDT 转移至在中心化交易所拥有账户的场外交易经纪商。

• 汇款(Remit)：从场外交易经纪商处接收法定货币。

尽管犯罪分子及洗钱者不断变换洗钱策略，并试图滥用各种合法服务，但在报告所述期间，他们始终依赖某些特定平台，以下列举的平台并非全部，而是根据各种信息来源整理而成：

兑换和现金化渠道

洗钱后的加密货币通常通过 DPRK 境外关联人员、场外交易商或中间人网络兑换成法定货币。

• 与境外金融体系的联系

多个场外交易商曾协助 DPRK 网络犯罪分子将加密货币兑换为法定货币，并将资金转入 DPRK 控制的银行账户，这些场外交易商通常收取部分加密货币作为服务费，然后将等值法定货币交付给 DPRK 相关人员。

据 MSMT 成员国提供的信息，The DPRK’s First Credit Bank (FCB) 曾利用一家美国金融服务公司将美元兑换成人民币，并持有数十个加密货币钱包中的储备金，一些 DPRK 网络犯罪分子还在境外金融机构开设账户，用于洗钱活动。

• 海外中间人网络

尽管 DPRK 网络犯罪分子通常亲自参与洗钱过程，但他们也会将洗钱工作外包给其他第三方扩大洗钱规模。例如，通过柬埔寨  及其关联账户，将被盗加密货币兑换成法定货币，再转移至其他地区。

使用加密货币进行交易和支付

据 MSMT 成员国提供的信息，至少自 2023 年以来，DPRK 试图将对加密货币的使用范围从网络犯罪扩展到商品和服务的交换和支付，例如在出售和转让装备和原材料等采购相关交易中使用 USDT：

使用稳定币进行支付使 DPRK 能够避开现金运输限制，提高交易便捷性，同时降低被追踪的风险，Tether 等稳定币发行方保留了冻结的能力，并与执法机构合作冻结受制裁的交易。

四、DPRK 信息技术工作者

概述与战略角色

根据报告，信息技术(IT) 工作者是朝鲜劳动力中收入最高的群体。DPRK 通过高等机构对 IT 工作者进行管理和监督，确保其收入部分用于基础设施建设及消费品采购等。通常，IT 工作者需将其收入的一半上缴上级机构，自身可保留的收入仅为总收入的 5 % 至 10 %，在某些情况下，他们甚至可能需要自掏腰包来支付这些款项。2024 年，DPRK 可能从其全球 IT 工作者身上获得约 3.5 亿至 8 亿美元的收入。

每个 IT 团队由经理负责，设定每月绩效目标（通常每人最低 1 万美元），并协助团队获取身份验证、支付账户及其他必要条件。被派往海外的 DPRK IT 从业人员平均月薪为 1 万美元。DPRK 国内 IT 从业人员的平均收入可能与海外 IT 从业人员大致相同，但海外工作能获得更广泛的国际业务接触机会。

目标行业与地域分布

根据 Mandiant 为 MSMT 报告收集的信息，DPRK IT 工作者的业务范围覆盖全球，其目标行业包括人工智能、区块链技术、网站开发、国防工业、政府部门及相关科研机构。一些被解雇的 IT 从业人员还威胁要泄露其前雇主的敏感数据，或将其提供给竞争对手。这些数据包括专有数据和内部项目的源代码。

地域分布（2024 - 2025 年）：

• 中国：约 1000 至 1500 人；

• 朝鲜境内：约 450 至 1200 人；

• 俄罗斯：约 150 至 300 人；

• 老挝：约 20 至 40 人；

• 赤道几内亚：约 5 至 15183 人；

• 几内亚：约 5 至 10 人；

• 尼日利亚：不足 10 人；

• 坦桑尼亚：不足 10 人；

• 柬埔寨：未知。

IT 工作者通常通过自由职业平台（如 Upwork、Freelancer、Fiverr）、社交媒体及专业网络（如 LinkedIn、Discord）获取海外职位。他们经常使用多重身份及伪造文件以规避背景调查，并通过加密货币、Wise 和 Payoneer 等方式收取收入。

操作策略、技巧和流程

DPRK IT 工作者的惯用伎俩可分为三个阶段：建立身份、申请工作、接收资金。

第一阶段：建立用户画像

• 使用伪造或盗用的个人信息（例如姓名、照片和职业证书）创建个人资料；使用 AI（如 Thispersondoesntexist.com、generated.photos）合成人脸来美化其个人资料。

• 使用代理服务创建临时的虚拟电话号码通过 KYC 审核；使用合成的 KYC 文件、提交伪造的密钥验证照片绕过持续或定期的身份验证。

• 使用虚拟专用网络(VPN) 服务掩盖真实位置；借助筛选别名功能、Gmail 的点过滤功能创建多个电子邮件变体。

• 从已验证账户买卖平台购买账户或通过远程访问账户来维持对已购买账户的控制。

第二阶段：申请工作

• 传统求职：直接向公司投递简历，尤其是远程办公岗位。

• 线上工作平台：在 Upwork、Freelancer、Fiverr 等平台建立详细个人资料，突出热门技能（如区块链和人工智能），并尝试将沟通转移至  等“外部”平台。

• 替代平台：通过 、Discord 及专业论坛联系潜在客户和招聘人员，绕过结构化的审查流程。

第三阶段：接收资金

• 传统金融渠道：利用银行账户及支付平台（如 PayPal、Payoneer、Wise）收取报酬，并迅速转移给看似无关的第三方司法管辖区的个人账户。

• 加密货币：首选的支付方式，通过混币服务或离岸交易所兑换成法定货币，降低追踪风险。

此外，据 MSMT 成员国提供的信息显示：一些 DPRK IT 工作者采用了不同的方法将法定货币兑换成加密货币，例如通过第三方购买 PayPal 美元(PYUSD)，然后兑换成与美元挂钩的稳定币 USDC 或 USDT 并将此类交易的金额限制在每天约 5000 至 6000 美元以内；2025 年 DPRK IT 从业人员开始利用外国中介或伪造身份证明文件来获取支持自动清算系统(ACH) 的银行账户，以便更快地将资金存入 DPRK 控制的西方金融机构账户；DPRK IT 从业人员还开始通过注册美国实体来设立空壳公司，这使他们能够在面试时减少审查并从美国公司获得收入；这些策略的实施伴随一定风险，包括数据泄露、知识产权侵权及潜在的法律责任。

五、DPRK 恶意网络活动

针对韩国(ROK) 的网络攻击

• Temp.Hermit 针对韩国关键网络基础设施的渗透行动

在 2023 年至 2024 年间，Temp.Hermit 利用韩国常用身份验证软件中的漏洞传播恶意代码，通过“水坑攻击”入侵多家韩国新闻网站，植入恶意代码，感染访问这些网站的用户的计算机。该代码针对已安装在受感染计算机上的身份验证软件中的漏洞，并进一步扩散，形成可被远程操控的访问点。Temp.Hermit 还入侵了某些韩国机构的 IT 资产管理服务器，以识别全网潜在弱点。

• Kimsuky 针对韩国建筑行业的信息窃取行动

2024 年 1 月，Kimsuky 在韩国建筑行业协会网站植入“TrollAgent”恶意软件，并将其伪装为合法的安全认证工具，使用窃取的数字证书绕过检测。通过被篡改的文件，Kimsuky 获取了用户系统信息、浏览器数据、截屏记录及登录凭据。这些数据被认为可能用于进一步针对韩国公职人员及重大建筑项目的后续定向攻击。

国防工业基地(DIB) 目标

DPRK 长期依赖网络能力推动武器系统现代化并获取相关研究数据。多个 DPRK APT 组织持续将航空航天、造船、卫星制造和军工企业作为主要攻击对象，并结合社会工程学诱导员工执行含恶意代码的“入职评估测试”，以窃取敏感技术资料。

2024 年 12 月，TraderTraitor 入侵中国无人机制造商大疆创新(DJI)，窃取其无人机研发相关材料。

2024 年 5 月，Andariel 利用一家安全公司开发的 DLP 软件供应链漏洞，对多家韩国国防科技企业发动攻击。攻击者控制其中央更新服务器，向下游客户分发伪装成合法模块的恶意软件，并从多家企业窃取包括武器设计蓝图在内的大量敏感数据。

MSMT 报告还指出，DPRK IT 工作者与 APT 组织之间的界限正在进一步模糊。一些 IT 从业者曾协助 DPRK 网络组织识别目标行业漏洞、管理求职数据库，甚至参与恶意软件部署（如 BEAVETAIL 与 INVISIBLE FERRET）。部分 IT 人员申请军工或 AI 相关职位，以积累技术经验用于后续网络行动，进一步加强了两者之间的协作关系。

针对民众与政府机构的网络攻击

2024 年 5 月，APT37 利用韩国自由软件中常见的“Toast 广告”投放机制的漏洞发动大规模攻击，以韩国国家安全官员和 DPRK 相关 NGO 成员为主要目标。APT37 首先攻破提供广告内容的服务器，再通过 Internet Explorer 引擎中的零日漏洞向用户投递恶意代码。该行动最终在受害设备上安装“RokRAT”远程访问木马，使攻击者能够进行长期监视和数据窃取。

六、总结

面对 MSMT 报告揭示的体系化网络威胁，Web3 行业需要整体感知自己所处的安全处境。DPRK 相关攻击已不仅是外部黑客入侵，而是将 IT Worker 渗透、供应链控制、链上资金盗取与跨境洗钱网络深度结合的一体化攻击。对交易所、钱包、基础设施和开发团队而言，风险不再局限于技术漏洞，更来自人、流程和资产全链路的薄弱环节，特别是远程协作和外包开发场景，背景核查、身份验证、代码来源审查和面试流程安全都必须成为安全体系的一部分。

与此同时，加密资产已成为 DPRK 规避制裁与资金结算的重要通道，洗钱行为呈现跨链、高跳转和高度伪装化特征，这意味着链上监控与自动化风控成为必需能力：SlowMist 和 MistTrack 在长期追踪 Lazarus、TraderTraitor 等组织活动中积累了大量恶意地址集群、洗钱路径和相关情报，可协助企业降低风险。

更重要的是，行业需要从“点状防御”升级为“体系联防”。高价值目标如交易所、跨链桥、托管机构与涉及关键基础设施的企业，应在网络、供应链、终端与链上层面同步强化纵深防御，引入零信任架构、安全监测、安全审计和威胁情报订阅等机制。

简而言之，这份报告呈现的不是单一攻击案例，而是针对加密金融体系的全面升级。面对这样成熟且不断演进的对手，整个 Web3 生态都需要以更强的协同、更敏锐的监测和更完整的防御策略来应对。唯有建立覆盖人员、供应链、资产与资金流的连续安全能力，行业才能在这种长期博弈中保持安全韧性。