近年来,随着数字货币和区块链技术的飞速发展,网络安全问题日益成为全球关注的焦点。2025年7月,美国财政部采取重要措施,针对一个由朝鲜技术专业人员组成的团伙实施制裁,该团伙涉嫌通过欺骗手段侵入加密货币公司系统,盗窃资金并向朝鲜导弹计划提供资金支持。该事件不仅反映出朝鲜网络攻击策略的转型,也突显出国际社会在数字资产领域防范欺诈和网络威胁的新挑战。 朝鲜作为国际社会制裁的重点对象,其通过网络犯罪手段获取资金的行为由来已久。传统上,朝鲜黑客组织如Lazarus Group以高度复杂的网络入侵闻名,曾多次制造重大加密货币盗窃事件,包括2025年2月震惊业内的Bybit交易所遭受的15亿美元攻击。然而,最新的研究与执法行动显示,朝鲜正逐步转变战略,放弃单纯的黑客攻击,转向以伪装和身份欺诈为主的“互联网间谍”手法,更加注重长远和隐蔽的资金获取途径。
根据美国财政部外国资产控制办公室(OFAC)的消息,制裁的核心对象包括朝鲜籍技术员宋金赫(Song Kum Hyok)以及与其相关的多个实体。宋金赫被指控窃取美国公民个人信息,替他人伪造身份,操纵雇佣流程,使这些假身份技术员能够进入美国区块链与加密货币公司工作,实施利益转移和数据窃取。此外,一位俄罗斯籍人士Gayk Asatryan因运营与朝鲜贸易公司签署长期雇佣协议的公司,也被纳入制裁名单,显示朝鲜网络人员渗透范围已扩展至全球多个国家。 有关机构指出,这个由数千名技术人员组成的全球网络,有大量成员集聚于中国和俄罗斯,利用正规和行业特定的网络平台寻找工作机会,目标主要瞄准经济发达国家。通过伪造身份,朝鲜技术人员能够在不引起怀疑的情况下,潜伏于重要的加密货币企业内部,达到窃取资金和敏感数据的目的。 TRM Labs,一家区块链安全与情报公司,提供了关键数据支持。
该公司报告称,2025年上半年全球75起加密货币攻击和漏洞事件中,涉朝网络攻击者共盗取了约16亿美元,占同期盗窃总额的绝大部分。更重要的是,TRM Labs观察到朝鲜的网络犯罪活动模式正从简单粗暴的系统入侵,向更加隐蔽和欺骗性的部署转变,重心放在“植入工人”策略上,这意味着朝鲜未来可能更多利用内部攻击方式,规避外部监测和审查。 针对这一现象,美国财政部副部长Michael Faulkender表示,财政部将全力使用现有执法工具,破坏朝鲜政权利用数字资产盗窃、冒充美国人身份以及网络攻击绕过国际制裁的行为。该声明强调,应对朝鲜网络犯罪不仅是打击个别违法行为,更是遏制其导弹及核武计划融资链条的重要环节。 实际上,美国及其盟友近年来对朝鲜技术人员渗透行为的警惕不断加强。2025年6月底,美国司法部指控了四名朝鲜籍个人,罪名涉及通过冒充远程区块链公司员工实施电信诈骗和洗钱;与此同时,当月早些时候,美国尝试冻结了价值超过770万美元的被指通过伪装身份在区块链公司非法赚取的加密货币资产。
这些行动表明,美国正加大对这类新型网络犯罪模式的打击力度,强化对数字资产领域的监管和安全防护。 朝鲜利用技术人员渗透全球企业的原因根植于其极端的资金需求,尤其是导弹与核武器研发项目,国际社会严格的经济制裁使得传统资金渠道受限,促使其更加依赖网络手段获取资金。通过雇佣技术精湛的IT人员,并教授其欺骗和渗透技巧,朝鲜能够在全球数字经济体系内谋取非法利益,从而间接支持军事项目的推进。 从长远来看,朝鲜采用“植入技术人员”策略使国际社会面临全新挑战。这种模式既复杂又隐秘,传统基于入侵检测的安全防护难以准确识别。企业需加强员工背景核查与身份认证,同时提高对远程工作环境下潜在风险的警觉。
区块链安全公司和执法机构需要加强协作,共享情报和技术,通过更先进的行为分析和异常检测技术来识别潜在威胁。 与此同时,全球监管机构应积极推动跨国合作制裁和信息共享机制,遏制朝鲜及其代理人在数字资产领域的违法活动。这不仅需要金融和网络安全监管的联动,也要求法律法规更新以应对快速变化的技术环境,强化对虚拟资产交易平台和相关服务商的监督管理力度。 公众层面,随着远程工作机会的增多,为防止身份被盗用和伪造,个人信息保护意识亟待提升。各界应加强教育和宣传,提高防范网络诈骗及身份冒用的能力,降低朝鲜等恶意网络组织利用假身份渗透风险。 总结来看,美国对朝鲜技术人员团伙实行的制裁行动揭示了朝鲜网络犯罪模式的显著转变,显示了其从传统黑客攻击向长期隐蔽渗透发展的趋势。
此举不仅对加密货币行业安全提出更高要求,也对全球网络安全体系和国际安全格局带来深远影响。为有效应对这一复杂威胁,国际社会需整合资源,推动技术创新,加强执法合作,构建更安全、更透明的数字经济生态。这不仅是对现有安全风险的回应,更是守护全球数字资产健康发展的必由之路。
