2026年Q1朝鲜关联APT威胁态势综合分析
Contents
2026年Q1朝鲜关联APT威胁态势综合分析
1. 主要活跃团伙 (Threat Actors)
根据情报,在此期间活跃的朝鲜关联APT组织主要包括以下几个核心团伙及其子集群:
Lazarus Group (拉撒路组织):
最核心、最活跃的朝鲜国家支持威胁行为体,其活动涵盖金融犯罪、网络间谍和破坏性攻击。其下拥有多个功能专精的子组:
BlueNoroff (蓝诺罗夫):
专注于金融犯罪,特别是针对加密货币、Web3和传统金融机构的攻击。近期活动频繁。
Andariel:
专注于网络间谍和勒索软件活动,目标广泛,包括国防、核工程、金融、医疗和软件供应商。
Famous Chollima / UNC1069 / 千里马:
频繁通过虚假招聘(“传染性面试”)活动针对开发者、加密货币从业者。
ScarCruft (APT37):
主要针对韩国目标,近期更新了ROKRAT恶意软件的投递方式。
Kimsuky:
持续活跃,专注于针对韩国、美国及其他地区的外交、政策、军事目标的网络间谍活动,基础设施更新频繁。
Konni:
活动有所增加,利用Google/Naver广告重定向、KakaoTalk二次传播等手法进行鱼叉式钓鱼。
2. 主要攻击活动 (Campaigns)
2026年前三个月,朝鲜APT组织发起了大量且多样化的攻击活动,部分活动存在重叠和演变:
“传染性面试” (Contagious Interview) 及相关变种:
核心活动:
Lazarus (尤其是Famous Chollima子组) 通过LinkedIn、Upwork、Telegram等平台,冒充招聘人员(如风险投资家、公司HR),以高薪职位诱骗加密货币、Web3、AI等领域的开发者、创始人和高级工程师。
感染链:
诱导受害者克隆恶意Git仓库(GitHub/GitLab),利用VS Code/Cursor的tasks.json配置、npm postinstall钩子、恶意扩展等机制自动执行恶意代码。
恶意软件:
部署 BeaverTail、InvisibleFerret、OtterCookie、GolangGhost、PylangGhost、AnyDesk RAT、DEV#POPPER RAT、OmniStealer 等。
目标:
窃取加密货币钱包、浏览器凭证、SSH密钥、云服务令牌、GitHub账户等。
关联活动:
“Contagious Trader”(武器化交易机器人)、“ClickFix”社交工程(伪造系统错误诱导用户运行命令)都是此模式的变种或组成部分。
BlueNoroff的金融窃取活动:
“GhostCall” / “GhostHire”:
通过伪造Zoom/Teams会议链接或虚假招聘流程,针对macOS和Windows用户,分发 ZoomClutch、CosmicDoor、RooTroy、POWerful Armadillo 等恶意软件,专门窃取加密货币。
“EtherHiding”:
利用以太坊区块链进行C2通信,使用 EtherRAT和SYS_INFO模块,针对加密货币交易所和钱包服务。
针对Bitrefill等交易所的直接攻击。
Kimsuky的网络间谍活动:
持续钓鱼基础设施更新:
大量注册模仿Naver、韩国国税厅(NTS)、政府文档服务的恶意域名(使用 .dns.army, .dynv6.net, .mydns.bz 等动态DNS),用于凭证窃取。
恶意文档投递:
使用恶意 LNK文件、PDF文件、PIF文件、HWP文档中的OLE对象 进行初始访问。
新技术:
观测到使用 Dropbox API进行数据外泄和C2通信,滥用合法云服务增强隐蔽性。
Konni的鱼叉式钓鱼活动:
“Operation Poseidon”:
利用Google Ads和Naver广告重定向机制,伪装成金融机构或朝鲜人权组织,诱导用户下载恶意LNK文件,最终部署 EndRAT、RftRAT、RemcosRAT。
滥用KakaoTalk进行二次传播:
在感染受害者后,利用其KakaoTalk PC版向好友列表发送恶意文件。
ScarCruft的恶意软件更新:
改变了ROKRAT恶意软件的投递方式,从传统的LNK文件转向利用 HWP(韩文)文档中的OLE对象嵌入Dropper/Loader,通过DLL侧加载执行。
供应链与云环境攻击:
UNC4899活动:
通过社交工程渗透开发者,进而利用其设备访问企业Google Cloud和Kubernetes环境,滥用服务账户令牌,最终窃取数百万美元加密货币。
滥用合法服务:
普遍使用 Vercel、Railway、GitHub Pages、Dropbox、Google Drive 等托管恶意载荷或作为C2,以绕过传统安全检测。
勒索软件活动:
Lazarus集团被观察到与 Medusa勒索软件 合作,并用于攻击中东和美国医疗保健目标,表明其攻击手段的扩展。
3. 主要攻击目标 (Targets)
攻击目标呈现出高度针对性和行业集中性:
加密货币与Web3行业:
首要目标。包括交易所(Bitrefill等)、钱包服务、质押平台、DeFi协议、区块链开发者、项目创始人和投资者。
IT与软件开发人员:
特别是与加密货币、AI、云基础设施相关的开发者。通过虚假招聘进行大规模渗透。
韩国实体:
Kimsuky和ScarCruft的主要目标,包括政府机构、大使馆、企业、媒体和研究机构。
金融服务机构:
传统银行、金融科技公司。
政府与国防:
特别是Andariel子组,目标包括国防承包商、政府机构。
医疗保健与教育:
在美国等地成为勒索软件攻击的新兴目标。
政策与外交相关个人/机构:
Kimsuky经常针对此类目标进行情报收集。
4. 主要战术、技术与程序 (TTPs)
攻击者的TTPs持续演进,混合使用传统和高阶技术:
初始访问 (Initial Access):
鱼叉式网络钓鱼:
主要手段,利用虚假招聘、会议邀请、政策简报、税务通知等诱饵。
恶意附件:
LNK、PDF、HWP、JSE、PIF、CHM文件。
供应链攻击:
污染npm包、PyPI包、Git仓库、开源软件(如Notepad++供应链攻击事件被提及)。
广告重定向 (Malvertising):
Konni滥用Google/Naver广告。
社交工程:
“ClickFix”技术、伪造技术支持、冒充熟人通过Telegram/Zoom联系。
执行 (Execution):
滥用合法工具和开发环境:VS Code Tasks、npm scripts、AppleScript、PowerShell、Bash。
通过LNK文件、计划任务 (schtasks)、DLL侧加载、AutoIt脚本执行恶意代码。
持久化 (Persistence):
创建计划任务、启动项、LaunchDaemon(macOS)。
篡改或伪装成系统工具/浏览器扩展。
防御规避 (Defense Evasion):
混淆与加密:
多层混淆、Base64编码、XOR加密、自定义加密算法。
无文件技术:
内存加载恶意软件(如ROKRAT)。
滥用签名/合法进程:
代码签名滥用、进程注入。
AI辅助:
使用AI代理运行载荷以规避检测、AI生成代码增加分析难度。
虚拟机/沙箱检测。
命令与控制 (Command & Control):
混合基础设施:
使用专用VPS、动态DNS域名、合法云服务(Vercel, Dropbox, GitHub)、甚至区块链(以太坊) 进行C2通信。
协议多样化:
HTTP(S)、WebSocket、DNS-over-HTTPS (DoH)、自定义二进制协议。
基础设施即代码:
观察到C2服务器部署呈现自动化、标准化特征。
数据窃取 (Exfiltration):
针对性地窃取加密货币钱包(浏览器扩展、桌面应用)、密钥链、SSH密钥、云凭证、浏览器Cookie和密码。
使用Dropbox API、合法文件共享服务进行外泄。
5. 基础设施 (Infrastructure)
基础设施特点是动态、冗余、滥用高信任度服务:
域名:
大量使用动态DNS服务(如 dynv6.net, dns.army, mydns.bz)和非常规顶级域(如 .cfd, .icu, .online),并精心模仿目标常用服务(如 naver*, nts*, zoom*, webzoom.us)。
IP地址:
广泛分布在韩国、香港、美国、欧洲等地的数据中心和云服务商(如 UCLOUD, DAOU TECHNOLOGY, Cloudflare, Kaopu Cloud)。
托管平台:
滥用 GitHub、GitLab、Vercel、Railway.app、Dropbox、Google Drive 等作为恶意代码存储库或C2中继,极大增加了检测和阻断难度。
工具暂存服务器:
发现全球VPS上运行着统一的工具暂存服务器和FRP隧道节点,用于攻击准备。
6. 威胁态势与活跃度变化 (Threat Landscape & Activity Trends)
活跃度极高且持续:
2026年第一季度,朝鲜APT组织的活动未出现明显低谷,始终保持在极高活跃水平。几乎每天都有新的基础设施(IP、域名)被披露,每周都有新的攻击活动或恶意软件变种被分析。
“传染性面试”模式成为主流:
…
1. 主要活跃团伙 (Threat Actors)
根据情报,在此期间活跃的朝鲜关联APT组织主要包括以下几个核心团伙及其子集群:
Lazarus Group (拉撒路组织):
最核心、最活跃的朝鲜国家支持威胁行为体,其活动涵盖金融犯罪、网络间谍和破坏性攻击。其下拥有多个功能专精的子组:
BlueNoroff (蓝诺罗夫):
专注于金融犯罪,特别是针对加密货币、Web3和传统金融机构的攻击。近期活动频繁。
Andariel:
专注于网络间谍和勒索软件活动,目标广泛,包括国防、核工程、金融、医疗和软件供应商。
Famous Chollima / UNC1069 / 千里马:
频繁通过虚假招聘(“传染性面试”)活动针对开发者、加密货币从业者。
ScarCruft (APT37):
主要针对韩国目标,近期更新了ROKRAT恶意软件的投递方式。
Kimsuky:
持续活跃,专注于针对韩国、美国及其他地区的外交、政策、军事目标的网络间谍活动,基础设施更新频繁。
Konni:
活动有所增加,利用Google/Naver广告重定向、KakaoTalk二次传播等手法进行鱼叉式钓鱼。
2. 主要攻击活动 (Campaigns)
2026年前三个月,朝鲜APT组织发起了大量且多样化的攻击活动,部分活动存在重叠和演变:
“传染性面试” (Contagious Interview) 及相关变种:
核心活动:
Lazarus (尤其是Famous Chollima子组) 通过LinkedIn、Upwork、Telegram等平台,冒充招聘人员(如风险投资家、公司HR),以高薪职位诱骗加密货币、Web3、AI等领域的开发者、创始人和高级工程师。
感染链:
诱导受害者克隆恶意Git仓库(GitHub/GitLab),利用VS Code/Cursor的tasks.json配置、npm postinstall钩子、恶意扩展等机制自动执行恶意代码。
恶意软件:
部署 BeaverTail、InvisibleFerret、OtterCookie、GolangGhost、PylangGhost、AnyDesk RAT、DEV#POPPER RAT、OmniStealer 等。
目标:
窃取加密货币钱包、浏览器凭证、SSH密钥、云服务令牌、GitHub账户等。
关联活动:
“Contagious Trader”(武器化交易机器人)、“ClickFix”社交工程(伪造系统错误诱导用户运行命令)都是此模式的变种或组成部分。
BlueNoroff的金融窃取活动:
“GhostCall” / “GhostHire”:
通过伪造Zoom/Teams会议链接或虚假招聘流程,针对macOS和Windows用户,分发 ZoomClutch、CosmicDoor、RooTroy、POWerful Armadillo 等恶意软件,专门窃取加密货币。
“EtherHiding”:
利用以太坊区块链进行C2通信,使用 EtherRAT和SYS_INFO模块,针对加密货币交易所和钱包服务。
针对Bitrefill等交易所的直接攻击。
Kimsuky的网络间谍活动:
持续钓鱼基础设施更新:
大量注册模仿Naver、韩国国税厅(NTS)、政府文档服务的恶意域名(使用 .dns.army, .dynv6.net, .mydns.bz 等动态DNS),用于凭证窃取。
恶意文档投递:
使用恶意 LNK文件、PDF文件、PIF文件、HWP文档中的OLE对象 进行初始访问。
新技术:
观测到使用 Dropbox API进行数据外泄和C2通信,滥用合法云服务增强隐蔽性。
Konni的鱼叉式钓鱼活动:
“Operation Poseidon”:
利用Google Ads和Naver广告重定向机制,伪装成金融机构或朝鲜人权组织,诱导用户下载恶意LNK文件,最终部署 EndRAT、RftRAT、RemcosRAT。
滥用KakaoTalk进行二次传播:
在感染受害者后,利用其KakaoTalk PC版向好友列表发送恶意文件。
ScarCruft的恶意软件更新:
改变了ROKRAT恶意软件的投递方式,从传统的LNK文件转向利用 HWP(韩文)文档中的OLE对象嵌入Dropper/Loader,通过DLL侧加载执行。
供应链与云环境攻击:
UNC4899活动:
通过社交工程渗透开发者,进而利用其设备访问企业Google Cloud和Kubernetes环境,滥用服务账户令牌,最终窃取数百万美元加密货币。
滥用合法服务:
普遍使用 Vercel、Railway、GitHub Pages、Dropbox、Google Drive 等托管恶意载荷或作为C2,以绕过传统安全检测。
勒索软件活动:
Lazarus集团被观察到与 Medusa勒索软件 合作,并用于攻击中东和美国医疗保健目标,表明其攻击手段的扩展。
3. 主要攻击目标 (Targets)
攻击目标呈现出高度针对性和行业集中性:
加密货币与Web3行业:
首要目标。包括交易所(Bitrefill等)、钱包服务、质押平台、DeFi协议、区块链开发者、项目创始人和投资者。
IT与软件开发人员:
特别是与加密货币、AI、云基础设施相关的开发者。通过虚假招聘进行大规模渗透。
韩国实体:
Kimsuky和ScarCruft的主要目标,包括政府机构、大使馆、企业、媒体和研究机构。
金融服务机构:
传统银行、金融科技公司。
政府与国防:
特别是Andariel子组,目标包括国防承包商、政府机构。
医疗保健与教育:
在美国等地成为勒索软件攻击的新兴目标。
政策与外交相关个人/机构:
Kimsuky经常针对此类目标进行情报收集。
4. 主要战术、技术与程序 (TTPs)
攻击者的TTPs持续演进,混合使用传统和高阶技术:
初始访问 (Initial Access):
鱼叉式网络钓鱼:
主要手段,利用虚假招聘、会议邀请、政策简报、税务通知等诱饵。
恶意附件:
LNK、PDF、HWP、JSE、PIF、CHM文件。
供应链攻击:
污染npm包、PyPI包、Git仓库、开源软件(如Notepad++供应链攻击事件被提及)。
广告重定向 (Malvertising):
Konni滥用Google/Naver广告。
社交工程:
“ClickFix”技术、伪造技术支持、冒充熟人通过Telegram/Zoom联系。
执行 (Execution):
滥用合法工具和开发环境:VS Code Tasks、npm scripts、AppleScript、PowerShell、Bash。
通过LNK文件、计划任务 (schtasks)、DLL侧加载、AutoIt脚本执行恶意代码。
持久化 (Persistence):
创建计划任务、启动项、LaunchDaemon(macOS)。
篡改或伪装成系统工具/浏览器扩展。
防御规避 (Defense Evasion):
混淆与加密:
多层混淆、Base64编码、XOR加密、自定义加密算法。
无文件技术:
内存加载恶意软件(如ROKRAT)。
滥用签名/合法进程:
代码签名滥用、进程注入。
AI辅助:
使用AI代理运行载荷以规避检测、AI生成代码增加分析难度。
虚拟机/沙箱检测。
命令与控制 (Command & Control):
混合基础设施:
使用专用VPS、动态DNS域名、合法云服务(Vercel, Dropbox, GitHub)、甚至区块链(以太坊) 进行C2通信。
协议多样化:
HTTP(S)、WebSocket、DNS-over-HTTPS (DoH)、自定义二进制协议。
基础设施即代码:
观察到C2服务器部署呈现自动化、标准化特征。
数据窃取 (Exfiltration):
针对性地窃取加密货币钱包(浏览器扩展、桌面应用)、密钥链、SSH密钥、云凭证、浏览器Cookie和密码。
使用Dropbox API、合法文件共享服务进行外泄。
5. 基础设施 (Infrastructure)
基础设施特点是动态、冗余、滥用高信任度服务:
域名:
大量使用动态DNS服务(如 dynv6.net, dns.army, mydns.bz)和非常规顶级域(如 .cfd, .icu, .online),并精心模仿目标常用服务(如 naver*, nts*, zoom*, webzoom.us)。
IP地址:
广泛分布在韩国、香港、美国、欧洲等地的数据中心和云服务商(如 UCLOUD, DAOU TECHNOLOGY, Cloudflare, Kaopu Cloud)。
托管平台:
滥用 GitHub、GitLab、Vercel、Railway.app、Dropbox、Google Drive 等作为恶意代码存储库或C2中继,极大增加了检测和阻断难度。
工具暂存服务器:
发现全球VPS上运行着统一的工具暂存服务器和FRP隧道节点,用于攻击准备。
6. 威胁态势与活跃度变化 (Threat Landscape & Activity Trends)
活跃度极高且持续:
2026年第一季度,朝鲜APT组织的活动未出现明显低谷,始终保持在极高活跃水平。几乎每天都有新的基础设施(IP、域名)被披露,每周都有新的攻击活动或恶意软件变种被分析。
“传染性面试”模式成为主流:
…