原创 金正恩的“印钞机”曝光!9个月狂偷16.5亿美元,竟全用来造核弹
朝鲜虽然在国际上受到严厉的制裁,经济压力非常大,但他们却想出了一个高科技的办法来筹集资金,那就是通过黑客攻击加密货币平台。
2025年10月,多边制裁监测小组发布了一份报告,直指朝鲜的黑客组织在2025年头九个月里,至少从全球的加密货币交易所偷走了16.5亿美元。令人震惊的是,这些偷来的资金并没有用来改善朝鲜人民的生活,而是全部投入到了核武器和导弹的研发中。当这一消息曝光后,国际媒体纷纷表示,这是金正恩的“印钞机”被揭露了出来,朝鲜竟然靠网络犯罪来维持其军事发展。
多边制裁监测小组是一个专门关注朝鲜如何绕过联合国制裁的组织。它于2024年10月由澳大利亚、加拿大、法国、德国、意大利、日本、荷兰、新西兰、韩国、英国和美国等11个国家联合成立。报告显示,2025年1月到9月,朝鲜的黑客组织“拉撒路集团”主导了多起网络攻击事件,盗窃金额达到了16.5亿美元,远超2024年全年窃取的13.4亿美元。
根据估算,2025年通过这些黑客攻击,朝鲜非法收入已超过60亿美元,这个数字几乎等于他们国家GDP的一部分。最让人震惊的是,2月21日发生的Bybit交易所事件。朝鲜黑客从中偷取了14亿美元的以太坊和其他相关代币,创造了加密货币史上最大的一笔盗窃纪录。
黑客的攻击手法非常巧妙。他们在2月19日部署了恶意智能合约,并篡改了交易所冷钱包的界面,使得签名授权人误以为是在做正常的转账操作,实际上这些操作是在偷偷转移资金。在短短几个小时内,超过40万枚以太坊消失无踪。美国联邦调查局(FBI)在2月26日确认,正是朝鲜的拉撒路集团所为。这个黑客组织隶属于朝鲜侦察总局,专门进行此类网络犯罪活动。
Bybit交易所的CEO Ben Zhou随后公开表示,他们通过借款补上了被盗的资金,并启动了“赏金猎人”计划,鼓励大家帮助追踪这些资金的去向。
那么,为什么说朝鲜的黑客行为就像是他们的“印钞机”呢?因为在国际制裁下,传统的金融渠道对朝鲜来说几乎完全关闭,他们只能通过这种非法手段获得外汇资金。报告还提到,这些盗取的资金经过“混币”服务洗白后,直接购买军工原材料,如铜材等,甚至用稳定币交易军火。
数据显示,2025年,朝鲜的黑客组织参与了超过30起类似事件,除了Bybit交易所之外,7月的WOO X交易所被盗走了1400万美元,Seedify平台也损失了120万美元。拉撒路集团不仅攻击交易所,还针对个人加密钱包实施盗窃,今年最大的一笔个人损失达到了1亿美元。这些非法资金大多都流入了朝鲜的核导弹项目。据联合国专家估计,朝鲜40%的军事资金都来自网络犯罪。
除了直接进行黑客攻击,朝鲜还玩起了另一种“把戏”——派遣IT人员到海外打工赚取外汇。朝鲜至少向8个国家派出了程序员,主要目的地包括中国、俄罗斯、老挝和柬埔寨等地。这些程序员隐藏身份,承接国际项目的外包工作。例如,在2025年1月,巴西一家公司的一名工程师通过LinkedIn和GitHub接到了招聘邀请,表面上看很正规,薪水也很高,甚至还附有知名公司签名。然而,一旦点击了技能评估文件,实际上却是恶意软件,能够窃取技术情报。
类似的手法也在韩国被使用过。2024年7月,韩国国防情报指挥部泄露了敏感数据,包括海外特工信息,这些信息都是通过职场平台接触到相关员工而获得的。
朝鲜的IT网络远不止这些,史汀生中心的38 North项目研究表明,朝鲜的动画师甚至参与过一些美国和日本公司的分包项目,比如亚马逊和HBO Max的动画制作。虽然这些公司否认直接雇佣朝鲜人员,但资金仍然回流到了平壤的国有工作室SEK。
2025年,朝鲜还计划向俄罗斯增派4万名劳工,其中不乏IT领域的人员。这一举动与朝鲜与俄罗斯日益加深的关系密切相关,朝鲜提供武器援助,换取俄罗斯的支持,从而扩大其活动空间。
Paradigm公司在4月警告称,朝鲜的黑客攻击组织数量不断增加,技术也日渐复杂,甚至开始采用区块链技术隐藏恶意软件的“EtherHiding”方法。国际社会对此反应强烈,美国国务院也呼吁全球合作,打击朝鲜的网络犯罪行为。FBI与Elliptic公司合作,追踪洗钱路径,并冻结了部分非法资金,但大多数资金已经被转移。
Bybit事件发生后,许多交易所加强了钱包协议,多签名机制得到了强化。然而,朝鲜黑客的速度非常快,在Bybit被攻击后的48小时内,他们就洗掉了1.6亿美元的资金。
多边制裁监测小组的报告成为国际社会的重要参考,推动了更多国家加入反制行动。2025年2月,韩国、美国、日本等国召开会议讨论应对策略,强调情报共享和区块链监管。而在6月,朝鲜外务省发言人公开谴责监测小组,称其是西方国家的工具,毫无合法性,并警告参与国将会付出代价。但这些言论并未阻止监测小组的继续行动,10月发布的报告依然有力地证明了朝鲜的网络攻击活动。
加密市场因为这些频繁的攻击事件变得极不稳定,交易量大幅波动,许多用户纷纷将资金转移到自托管钱包中。报告指出,朝鲜的网络行动高度集中在加密领域,利用区块链的匿名性和跨境便利,建立了一个完整的偷钱、洗钱体系。从Bybit事件的14亿美元到全球的IT劳工网,这一切都已经成为朝鲜的“生意”。
在金正恩的领导下,这种网络犯罪活动一直没有停止。拉撒路集团自2007年起便活跃在网络犯罪领域,参与过WannaCry勒索病毒和索尼黑客案件,现在专门针对加密货币交易平台进行攻击。FBI将Bybit事件命名为“TraderTraitor”,并鼓励私营企业采取措施堵住资金流动。虽然朝鲜始终否认与拉撒路集团的关系,但西方情报机构普遍认为,这一系列网络攻击是朝鲜政府支持的国家行为。
这些盗窃资金足以资助多个核项目,严重威胁国际安全。专家认为,要遏制这一趋势,必须加强国际合作,提升网络防御能力,堵住洗钱漏洞。
