北韓網路駭客攻擊「高度鎖定」南韓　瞄準虛擬貨幣資產、金融業

▲北韓駭客組織近年擴大針對南韓的網路攻擊行動。（示意圖／達志影像／美聯社）

記者羅翊宬／編譯

北韓（朝鮮）偵查總局旗下駭客組織近年擴大針對南韓的網路攻擊行動，尤其以Lazarus與Kimsuky兩大組織爲主力。資安業者安博士（AhnLab）最新報告指出，2024至2025年間北韓APT攻擊高達86次，遠超過中國、俄羅斯，且攻擊範圍涵蓋虛擬資產、金融、IT與國防，顯示南韓已淪爲高度集中的網路攻擊目標。

根據《韓聯社》，安博士發佈最新的「2025年網路威脅動向與2026年資安展望」報告，指出Lazarus在過去一年至少發動31次攻擊，Kimsuky則有27次。APT（Advanced Persistent Threat，智慧型持續性攻擊）指國家級駭客以高度組織化、長期滲透手法進行的攻擊，通常目標鎖定政治、外交、金融、虛擬資產等多領域。

報告指出，實際攻擊次數可能更高，部分政府或重要單位受害案例未公開。

Lazarus近期攻擊特徵包括針對虛擬資產交易所、金融與資訊科技公司，以及國防相關組織，並發展跨平臺惡意軟體，支援Mac OS與Linux系統。此類惡意程式可監控剪貼簿、竊取加密貨幣錢包資訊，並結合軟體漏洞與水坑攻擊（watering hole），誘導使用者訪問正常網站時感染。

安博士指出，南韓至少有6個IT、軟體與金融單位遭此類攻擊滲透。

值得注意的是，今年虛擬資產交易所Upbit遭駭事件，攻擊手法與Lazarus過往作案模式高度相似，包括錢包簽名程序異常操作、地址替換型惡意程式、多重認證（MFA）繞過以及供應鏈滲透等。南韓政府相關單位目前將Lazarus列爲事件主要嫌疑。

Kimsuky則以社會工程與僞裝手法爲特徵，透過僞造講座邀請、採訪請求散佈惡意檔案，並使用俄羅斯郵件域名或韓文免費域名隱匿來源。攻擊媒介包括ISO檔、韓文文件，並在Facebook、Telegram等社羣平臺進行多階段滲透，近期甚至出現AI生成假身分證遭濫用於攻擊的跡象。

其下屬分組Larva-24005可竊取使用者鍵盤輸入，Larva-24009則針對南韓使用者進行連結型攻擊。

此外，安博士在報告中也提及其他北韓APT駭客組織，如Andariel、Konni、TA-RedAnt等，均持續針對南韓各產業發動攻擊。報告警告，隨着駭客滲透技術與RaaS（服務型勒索軟體）結合，攻擊成功率與損失規模恐進一步擴大，國際制裁國因此獲利的可能性亦上升。