曹县黑客在单日网络钓鱼攻击中窃取 TRON 用户 1.37 亿美元

与曹县有关的多个威胁组织集群与针对 Web3 和加密货币领域的网络攻击有关。

谷歌旗下的 Mandiant在2025 年 M-Trends 报告中表示： “由于对朝鲜实施了严厉制裁，对 Web3 和加密货币的关注主要出于经济动机。”

Mandiant表示，DPRK-nexus 威胁组织已经开发了用 Golang、C++ 和 Rust 等多种语言编写的自定义工具，并且能够感染 Windows、Linux 和 macOS 操作系统。

它追踪到的至少三个威胁活动集群（UNC1069、UNC4899 和 UNC5342）被发现针对加密货币和区块链开发社区，尤其关注从事 Web3 相关项目的开发人员，以获取对加密货币钱包及其使用组织的非法访问权限。

以下是每个威胁行为者的简要描述：

UNC1069（至少自 2018 年 4 月起活跃），利用社会工程手段针对不同行业，通过发送虚假会议邀请并在 Telegram 上冒充知名公司的投资者来获取受害者的数字资产和加密货币，从而获取经济利益。

UNC4899（自 2022 年起活跃），以策划以工作为主题的活动而闻名，这些活动将恶意软件作为所谓的编码任务的一部分进行传播，并且之前曾通过破坏供应链来获取经济利益（与 Jade Sleet、PUKCHONG、Slow Pisces、TraderTraitor 和 UNC4899 有重叠）

UNC5342（自 2024 年 1 月起活跃），也因使用与工作相关的诱饵来诱骗开发人员运行带有恶意软件的项目而闻名（与 Contagious Interview、DeceptiveDevelopment、DEV#POPPER 和 Famous Chollima 重叠）。

另一个值得注意的曹县威胁组织追踪代号为UNC4736，它通过对交易软件应用程序进行木马攻击，专门针对区块链行业，并被认为在 2023 年初对 3CX 发动了连锁供应链攻击。

Mandiant 表示，它还发现了一个独立的曹县黑客活动集群，追踪编号为 UNC3782，该集群针对加密货币领域开展大规模网络钓鱼活动。

Mandiant指出：“2023年，UNC3782 针对 TRON 用户进行了网络钓鱼操作，单日转移了价值超过 1.37 亿美元的资产。” “UNC3782 于 2024 年发起了一项活动，针对 Solana 用户，并将他们引导至包含加密货币消耗程序的页面。”

自2022年以来，一个追踪代号为UNC5267的活跃威胁集群已派遣数千名朝鲜公民前往美国、欧洲和亚洲的公司寻求远程就业。

曹县IT人员除了利用窃取的身份外，还利用完全虚构的身份来支持其活动。此外，他们还利用实时深度伪造技术，在求职面试中创建看似令人信服的合成身份。

“这提供了两个关键的操作优势。首先，它允许单个操作员使用不同的合成角色多次面试同一职位。”Palo Alto Networks Unit 42 研究员 Evan Gordenker说道。

其次，它可以帮助特工避免被识别并被列入安全公告和通缉令。总之，它可以帮助曹县IT工作者享受增强的操作安全性并降低可探测性。

曹县 IT 工作者计划将内部威胁提升到了一个全新的水平，其目的是将他们的工资汇回平壤以推进其战略目标，保持对受害者网络的长期访问，甚至勒索他们的雇主。

谷歌威胁情报小组 (GTIG) 在上个月的一份报告中表示： “他们还加强了针对雇主的勒索活动，并开始在企业虚拟桌面、网络和服务器上开展行动。”

“他们现在利用特权访问来窃取数据并发起网络攻击，此外还为曹县创造收入。”

2024 年，Mandiant 公司表示，他们在美国和欧洲求职期间，至少使用过 12 个身份识别出一名疑似朝鲜 IT 工作者，这凸显了采用这种非常规方法以虚假借口渗透组织的有效性。

Mandiant指出：“至少有一起案例，一家美国公司招聘的人员使用了两个虚假身份，最终一名曹县IT员工胜出。” 另一起案例中，“四名疑似曹县IT员工在12个月内在同一家公司受雇。”

技术报告：

https://services.google.com/fh/files/misc/m-trends-2025-en.pdf

https://cloud.google.com/transform/ultimate-insider-threat-north-korean-it-workers

新闻链接：

https://thehackernews.com/2025/04/dprk-hackers-steal-137m-from-tron-users.html