韩国重拳出击！Kimsuky APT黑客团伙遭制裁，加密地址首度曝光，美日火速跟进！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

🔍 一场跨国网络安全制裁风暴正在上演！

2023年6月，韩国外交部（MOFA）对臭名昭著的朝鲜黑客组织 Kimsuky（金速奇） 实施制裁，并首次公开了其使用的比特币地址。随后，美国与日本于同年11月联手加入制裁行列，剑指Kimsuky背后支撑朝鲜情报活动的网络间谍和加密金融体系。

这不仅是一场技术博弈，更是一次地缘政治下的网络战争。

🎭 Kimsuky是谁？朝鲜“情报特工队”的网络化延伸

Kimsuky，又名 Black Banshee、Springtail、Emerald Sleet，自2012年起就活跃于网络空间。

🧠 它的核心任务并非直接盗取资金，而是围绕朝鲜的国家战略目标，执行网络间谍任务，包括：

 窃取与核武器、卫星、军工相关技术

 针对韩国及西方政府、智库、大学等开展情报收集

 通过钓鱼邮件、虚假招聘、色情勒索等方式“自筹经费”

它不是单纯的黑客组织，而是一个 受国家情报系统指挥的网络情报部队。

💰 区块链踪迹曝光！韩国首次公开Kimsuky钱包地址

韩国外交部与情报机构合作，披露了两个Kimsuky控制的比特币地址：

 `bc1qmkh9s8qju9tkk2qckcz79we2084h2ckeqxylnq`

 `bc1qu9303km9mnq03hxehvtf2tzchvmkqnzyzm928d`

📊 来自Chainalysis的链上分析显示：

 这些地址频繁接收小额BTC，极有可能与“色情勒索”“钓鱼捐赠”等行为有关；

 它们还与多个主流交易所、挖矿池有交互记录，疑似存在“混币”或“洗钱”行为；

 Kimsuky还会利用矿池服务将“脏币”转化为“新币”，模糊资金来源。

📡 Kimsuky的加密策略：与Lazarus不同的“自给自足”

对比另一个臭名昭著的朝鲜黑客团体 Lazarus（专注于大规模盗币用于国家财政），Kimsuky展现出更隐秘、更灵活的网络经济模型：

| 团体      | 主要目标      | 加密货币用途            |

| - |  | -- |

| Lazarus | 偷钱为国家“输血” | 大规模盗币，支持武器开发、核计划等 |

| Kimsuky | 间谍为主，自给自足 | 募集小额资金，用于团队自身情报行动 |

这充分体现了朝鲜“主体思想（Juche）”的技术演绎：靠自己，用网络打情报战！

🌐 三国联手，全面封锁朝鲜网络间谍资金链！

这次的制裁，表面上是对几个黑客地址的冻结，背后却释放出一个重要信号：

国际社会不再容忍朝鲜“用代码换武器”的路径。

✅ 韩国率先公布链上证据

✅ 美国财政部OFAC与日本外务省联合制裁

✅ 澳大利亚随后也参与封锁部分朝鲜支持实体

✅ G7计划将“朝鲜网络威胁”列入2024议程

🧬 黑客产业化：Kimsuky还有哪些“赚钱姿势”？

除了勒索和洗钱，Kimsuky还曾：

 假冒韩国NGO发起虚假捐款

 针对加密用户发起“假安全更新”的社工攻击

 通过“兼职招聘”获取受害者设备权限，挖矿或部署后门

 运行“半合法”的在线服务，接受加密支付

⚠️ 这些手段一旦落入不设防的普通用户手中，很容易“误捐误点”。

🔐 普通用户该如何防范Kimsuky类APT攻击？

📌 微信用户 & 加密玩家注意：

1. 不点击不明邮件或招聘链接

2. 不向陌生BTC地址转账，尤其自称是捐款或色情威胁的

3. 使用多重身份验证（MFA）保护交易所/钱包账号

4. 检查交易所是否支持OFAC地址过滤

🧠 总结：一场没有硝烟的战争，打到了钱包里

Kimsuky的故事提醒我们，网络空间已成为国家利益争夺的前线，加密货币也早已不只是投机工具，而是国家武器化手段的一环。

📌 网络战正在进行，而我们每个人都是参与者。

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：韩国重拳出击！Kimsuky APT黑客团伙遭制裁，加密地址首度曝光，美日火速跟进！