北韓網路攻擊與安全威脅發展
2025.08.14
瀏覽數
780
壹、前言
近年,朝鮮民主主義人民共和國(Democratic People's Republic of Korea, DPRK,以下簡稱北韓)的網路威脅顯著升級,2025年已成為其加密貨幣「竊盜活動」有史以來最猖獗之一年,其規模甚至超越了2022年與2024年的歷史高點。類網路攻擊加劇,主要源於北韓政權規避國際制裁、並為其非法大規模毀滅性武器(Weapons of Mass Destruction, WMD)及彈道飛彈計畫籌集資金,以及維繫金氏政權的迫切需求。[1]
2025年二月發生的ByBit交易所15億美元駭客事件,不僅是加密貨幣史上最大單一竊盜案,[2]更佔據今年至今服務竊盜總額約69%。與此同時,北韓亦透過精密複雜的網路間諜活動,鎖定國防、航空航太、核能及工程等關鍵產業,旨在獲取敏感軍事技術和智慧財產權。值得注意的是,北韓在全球範圍內部署了數千名高技能的資訊科技工作者,藉謊騙手段獲取「遠端工作」機會,不僅竊取資金、更常將惡意軟體植入公司網路,構成雙重威脅。[3]
這些非法網路活動直接為北韓的WMD及彈道飛彈發展提供資金,並加速其進程。[4]人工智慧(Artificial Intelligence, AI)或機器學習等新科技整合,進一步提升這些攻擊的複雜性、速度及規模,對全球金融穩定和國家安全構成日益增長且持續存在的威脅。此外,北韓與俄羅斯之間日益深化的軍事合作,包括直接的軍事技術移轉,為雙邊戰略能力提供實質性進展,進一步加劇此些擔憂。
貳、安全意涵
一、大規模金融竊盜與衝擊
2025年上半年,從加密貨幣服務中被竊取的資金已超過21.7億美元,[5]其中北韓於2025年2月對ByBit交易所發動的15億美元攻擊,是加密貨幣史上最大規模的單一竊盜案,佔今年遭竊取資金總額約69%。而在2024年,北韓駭客透過四十七起獨立事件竊取了13.4億美元,比2023年的6.605億美元驚人地增加了103%,[6]2025年被竊資金的累積僅用142天就達到2022年214天的速度。這種加速不僅是竊盜量的增加,更揭示其行動效率的顯著提升,暗示北韓可能擁有更為流暢、資源更充足,甚至可能由AI或機器學習(Machine Learning, ML)輔助的進階攻擊手法。
北韓的網路行動也越來越傾向於鎖定高價值目標,這亦表明行動複雜性和效率正不斷提高。此外,個人錢包被盜的比例在總生態系中佔據較大份額,在2025年迄今為止的所有被竊資金活動中佔23.35%。[7]此趨勢一方面反應市場活絡,二方面反映主要服務商安全機制的改善,迫使攻擊者轉向更容易攻擊的個人用戶。
北韓國家資助的網路犯罪團體眾多,包含Kimsuky、Scarcruft、BlueNoroff、Andariel等,尤其是聲名狼藉的「拉撒路集團」(Lazarus Group),是當前全球網路數位金融威脅的核心。該組織對ByBit交易所發動的攻擊,不僅是史上最大規模竊案,更展示其資金洗錢速度和規模的增長。據稱在ByBit攻擊後的48小時內該團就成功洗錢1.6億美元,且洗錢模式與北韓以往的攻擊相符。[8]此外,ByBit被盜資金與其他歸因於北韓的竊盜資金混雜,這使得追蹤和追回變得更加複雜。
除直接的加密貨幣竊盜,北韓還計畫大規模部署非法「資訊科技」(Information Technology, IT)工作者。數千名北韓IT工作者,在全球範圍內藉詐騙手段獲得遠端工作機會,其中美國司法部點名包含台灣在內,美國、中國、阿拉伯聯合大公國等國皆有為其提供協助的案例。[9]其藉虛假身份、代理帳戶、偽造文件申請工作,並鎖定富裕國家雇主,包括前500大之公司和國防承包商。[10]藉複雜網路及前述協助,建立空殼公司並用於存放被害公司提供之電腦實體地點的「農場」,以供北韓特工進行遠端存取訪問與跳板。乃至其藉參與虛擬貨幣工作相關,利用交易所及交易平台管理取得權限並伺機將資訊、資金匯回北韓;同時藉虛擬貨幣「混幣器」如Tornado Cash模糊被盜資金來源,使其難以追蹤。[11]
二、數據間諜活動與技術竊取
北韓網路間諜活動不僅限於金融竊盜,更廣泛針對關鍵基礎設施及高科技產業進行數據竊取,特別是隸屬於偵察總局(Reconnaissance General Bureau, RGB)的駭客組織Andariel,主要鎖定全球的國防、航空、核能和尖端工程,其明確目標是竊取敏感技術資訊與智慧財產,用以推進政權的軍事和核計畫。[12]
新成立的「227研究中心」(Research Centre 227),隸屬於總參謀部偵察總局,專注開發用於網路間諜、金融掠奪和網路破壞的,基於AI的攻擊性駭客技術,且該技術主要用於情報收集自動化與進一步提升北韓整體網路能力。[13]包含先進國家之潛艦、瀕海戰鬥艦、無人水下航機、航太、精密工程技術乃至於核研究等情資與機密,皆在RGB的主要攻擊與竊取目標,表明此為經深思策劃且具規模,旨在獲取尖端能力和特定計畫機密的縝密行動。
北韓駭客偽裝受雇者取得遠端工作機會,隨後在目標公司以合法雇用名義,利用Apache Log4j 等非同步日誌軟體,或其他遠端軟體中已知的漏洞獲得初始存取權限,進一步部署 Web Shell 並取得敏感資訊和應用程式的存取權限,後利用自訂惡意軟體植入工具、遠端存取工具和開源工具等進行攻擊乃至橫向移動和資料竊取。更甚者,其將惡意軟體偽裝成 HTTP 封包,使用 3Proxy、PLINK 和 Stunnel等通道、及自訂代理通道工具等,藉協定將流量從網路內部通道傳輸回C2伺服器,依此對受感染的系統發送指令。[14]
參、趨勢研判
一、網路攻擊技術演進
北韓成立的「227研究中心」作為新網路戰單位,已使北韓網路攻擊者能在新興科技的輔助下繞過複雜安全機制,大規模進行自動化數據竊取,並以更高效率和速度取得存取權限,鎖定高價值目標,其整體策略、技術和程序(Tactics, Techniques, and Procedures, TTPs)皆有一定程度提升;此提升也顯著增加金氏政權滲透國外高度安全系統的可能性,並大規模減少執行複雜攻擊所需的時間和資源,更證實AI或ML在金融網路犯罪和規避經濟制裁方面的直接戰略作用。
自2024年以來,微軟威脅情報部門就觀察北韓遠端IT工作者,藉由AI提高其竊取行動的規模及複雜程度,並進一步為其政權創造收入,而當前至少有數千人滲透進美國政府與產業界;其在間諜與滲透行動中,展現出熟練社會工程技巧,這也是其獲取初始存取權的主要途徑。[15]而實際上藉由社交工程滲透的行動,往往偏向無需過高技術,僅需取得信任即可,因此顯然成為新的一波漏洞;一名為「夢想工作行動」(Operation Dream Job)的案例中,其在領英(LinkedIn)等網路獵人頭平台建立虛假資料,與特定國防產業、部門員工建立關係,並藉口轉移聯繫管道至通訊平台如WhatsApp或Telegram等,隨後發送偽裝成「工作機會」或惡意「虛擬私人網路」(Virtual Private Network, VPN)客戶端的惡意軟體藉此取得滲透機會。[16]
Kimsuky團體(又稱APT-C-55)則專門以網路釣魚、憑證和密碼竊取,及水坑攻擊等社交工程手段獲取資訊,藉冒充教授或學術機構,經電子郵件或透過作為「MD5訊息摘要演算法」(MD5 Message-Digest Algorithm)雜湊產生的 Rivest Cipher 4金鑰或隨機產生的 117 位元組緩衝區竊取,竊取過程中未可觀察設備損壞,顯然主要目的在於竊取資訊。[17]儘管北韓網路行動在技術上日益複雜,但其仍高度依賴利用人類的信任、好奇和生涯抱負,藉複雜社交工程手段進行攻擊,這亦凸顯即使擁有強大防禦技術與措施,「人為因素」仍是最關鍵的漏洞。
北韓攻擊者也展現進行供應鏈攻擊的能力,其首先滲透到安全性較低的供應商如網路伺服器維護承包商,藉此再向上入侵主要且安全性更高的目標。此方法有效地利用供應鏈的信任關係,同時利用網路伺服器廣泛存在的已知漏洞,如前述Log4j來部署並獲取敏感資訊和應用程式的初始存取權,以為後續進一步的利用。
二、俄朝全面性深化合作
美國財政部明確指出,北韓非法IT工作者所產生的巨額收入,直接資助其政權與WMD、彈道飛彈計畫。[18]據估計,2024年北韓竊取的13.4億美元中,約有40%直接用於北韓戰略軍事計畫,包括潛艦開發、太空計畫和無人機等;過往在公開場合,白宮官員就明確點出北韓駭客收入不僅是其政權主要收入來源之一,其資金更絕多數最終被運用在WMD和彈道飛彈計畫中,[19]德國聯邦憲法保護局(The Bundesamt für Verfassungsschutz, BfV)與韓國國家情報院(National Intelligence Service, NIS)等,進一步證實其直接利用軍事技術竊取來現代化和改進常規武器性能,並開發新的,包括彈道飛彈、偵察衛星和潛艦等戰略武器系統。[20]在大規模網攻及其他支援下,北韓資金與技術雙重快速進展,近年北韓在寧邊(Yongbyon)原子能研究所與降仙(Kangson)鈾濃縮場兩大設施加速生產高濃縮鈾(HEU, Highly Enriched Uranium),目前已可提煉90%以上濃縮鈾,數量或足以製造約50枚核彈頭,另有材料可再製造40–165枚。[21]
而深陷戰爭泥淖的俄羅斯,在雙邊「全面戰略夥伴關係條約」後從北韓獲得大量戰鬥勞動力補充,戰場的北韓傷亡人數據統計就達6,000餘人,[22]藉大量的戰鬥人口與傳統火炮彈藥支援,金正恩獲得俄羅斯資金、防空設備、飛彈、先進電戰系統,乃至無人機開發的技術、資金支持回饋,[23]更甚者俄羅斯藉安理會否決權阻止有害於北韓的決議通過,[24]及無視安理會各項制裁,包含向北韓運送石油及將凍結資金交付平壤等。[25]此外,俄國的網路空間與駭客,更為北韓的竊密與網路攻擊行動提供良好運作基地,即便未有證據顯示其直接參與攻擊,但亦間接助長北韓惡意網路活動及武器發展,俄朝業已形成一種廣泛、多面向共生關係。
[1] Chainalysis Team, “2025 Crypto Crime Mid-year Update: Stolen Funds Surge as DPRK Sets New Records,” Chainalysis, July 17, 2025, https://shorturl.at/sR09c.
[2] Public Service Announcement, “North Korea Responsible for $1.5 Billion Bybit Hack,” Alert Number: I-022625-PSA, Federal Bureau of Investigation, February 26, 2025, https://shorturl.at/iTuCh.
[3] “Inside Lazarus Group: Analysing North Korea's Most Infamous Crypto Hacks,” Hacken, September 3, 2024, https://shorturl.at/3oD5D.
[4] “Inside Lazarus Group: Analysing North Korea's Most Infamous Crypto Hacks,” Hacken, September 3, 2024, https://shorturl.at/3oD5D.
[5] Coin World, “Crypto Industry Loses $2.1 Billion to Cyber Attacks in 2025,” AInvest, Jun 27, 2025, https://shorturl.at/nhd7m.
[6] Omar El Chmouri, “North Korean Hackers Stole $1.3 Billion in Crypto in 2024,” Bloomberg, December 19, 2024, https://tinyurl.com/2s9f46sf.
[7] Linas Kmieliauskas, “Personal Crypto Wallet and Physical Attacks on the Rise as Market Rallies,” Cybernews, July 18, 2025, https://shorturl.at/91Zo3.
[8] Insights, “The Bybit Hack: Following North Korea’s Largest Exploit,” TRM, February 26, 2025, https://shorturl.at/4Fg5t.
[9] Office of Public Affairs, “Justice Department Announces Coordinated, Nationwide Actions to Combat North Korean Remote Information Technology Workers’ Illicit Revenue Generation Schemes,” US Department of Justice, June 30, 2025, https://shorturl.at/AWmeI.
[10] 同前註。
[11] 混幣的目的是切斷加密貨幣交易中發送方與接受方的相互聯繫。Zhang Joy,〈加密貨幣混幣器是什麼?工作原理&類型、洗錢監管風險、代表專案…全整理〉,《Blocktempo》,2024年06月14日,https://shorturl.at/93IWM。
[12] “Sanctions Imposed on DPRK IT Workers Generating Revenue for the Kim Regime,” US Department of the Treasury, July 8, 2025, https://shorturl.at/Os2jw.
[13] OSINT Unit,“North Korea’s Establishment of Research Centre 227: Cyber Warfare Enhancement,” SpecialEurasia, March 24, 2025, https://tinyurl.com/mr2w9bat.
[14] “Sanctions Imposed on DPRK IT Workers Generating Revenue for the Kim Regime,” US Department of the Treasury, July 8, 2025, https://home.treasury.gov/news/press-releases/sb0190.
[15] Microsoft Threat Intelligence, “Jasper Sleet: North Korean Remote IT Workers’ Evolving Tactics to Infiltrate Organizations,” Microsoft, June 30, 2025, https://shorturl.at/KSUmP.
[16] “Warning of North Korean Cyber Threats Targeting the Defense Sector,” Joint Cyber Security Advisory, February 19, 2024, https://shorturl.at/1LmWE.
[17] America’s Cyber Defense Agency, “North Korean Advanced Persistent Threat Focus: Kimsuky,” CISA, October 27, 2020, https://shorturl.at/rwYYQ.
[18] “Treasury Targets Actors Facilitating Illicit DPRK Financial Activity in Support of Weapons Programs,” U.S. Department of the Treasury, April 24, 2023, https://shorturl.at/FjWJV.
[19] Sean Lyngaas, “Half of North Korean Missile Program Funded by Cyberattacks and Crypto Theft, White House Says,” CNN, May 10, 2023, https://shorturl.at/rznH2.
[20] 신진우、신규진,《北, 국내 ‘콜드론치’ 기술 탈취해 SLBM 개발 단축》,동아일보,2024年02月27日,https://shorturl.at/XTqp2;박은주,《2024년 세계 정치의 해, 북한발 사이버 위협 고조》,보안뉴스,2023年12月27日,https://shorturl.at/KNUaL。
[21] Sarah Laderman, et. Al., “Fissile Material and Nuclear Force Structure in North Korea,” Occasional Paper, RUSI, 2024, https://shorturl.at/K7Skb.
[22] Wojciech Pawlus, “Russia is Now Actively Funding North Korea’s Nuclear Programme,” RUSI, June 24, 2025, https://shorturl.at/JcgKc.
[23] Olivia Yanchik, “North Korea is Playing A Key Role in Russia’s War Against Ukraine,” Atlantic Council, June 24, 2025, https://shorturl.at/HSlQf.
[24] Edward Howell, “North Korea and Russia’s Dangerous Partnership,” Asia-Pacific Programme, December 2024, https://shorturl.at/5WkVu.
[25] Mia Jankowicz, “Satellite Images Show Russia Defying Sanctions to Give North Korea 1 Million Barrels of Oil: Report,” Business Insider, November 22, 2024, https://shorturl.at/rB5Uw.