威胁情报报告:朝鲜通过竞选联系开展活动演变

执行摘要

朝鲜的网络行动已从相对分散的间谍活动和出于财务动机的行动演变为高度互联的运营生态系统,在这种生态系统中,接入技术生成、内幕妥协、加密货币盗窃、供应链入侵和情报收集相互强化,成为更广泛的国家导向战略的组成部分。以静态APT标签为中心的传统归因方法越来越难以解释这种演变,因为活动之间的操作界限已逐渐削弱。

现代朝鲜的网络活动被更好地理解为一种相互关联的战役架构,在这种架构中,基础设施、人物角色、凭证生态系统和运营贸易体系在多个任务集中持续被重复使用。最初看似无关的活动经常共享战略目标、运营排序、基础设施依赖以及变现路径。其成果是一个成熟的、具备网络支持的经济和情报系统,旨在规避制裁、产生外汇、战略情报收集以及具备行动韧性。

从孤立运动转向运营生态系统

朝鲜早期的网络行动在运营和战略上都相对分散。以间谍活动为重点,主要集中于政府部委、国防承包商、学术机构、航空航天组织以及战略技术领域,以谋求政治、军事和技术情报。相比之下,出于财务动机的运营最初面向银行、国际金融体系,以及后来的加密货币交易所和数字资产平台,因为该机制正适应了日益加剧的制裁压力。破坏性或强制性行动通常作为与报复、心理信号或出于政治动机的能力演示相关的独立任务轨道而存在。尽管这些运营类别偶尔会重叠,但在目标重点、基础设施、运营节奏和预期成果方面仍存在很大差异。

然而,随着时间的推移,这些活动之间的界限逐渐被削弱。

现代朝鲜的网络活动日益显现出间谍贸易、网络犯罪方法、内幕介入行动、云泄露以及供应链入侵活动之间的融合。曾经被视为具有行动意义的活动,如今通常会在更广泛的接入生成生态系统中相互交织并相互加强。一次操作中获得的访问权限常被用于在入侵生命周期后期支持完全不同的任务目标。欺诈性远程雇佣计划在企业环境中提供长期的内幕延续。面向开发者的活动活动可生成对源代码仓库、CI/CD 基础设施、云环境和身份验证系统的访问。凭据盗窃和云妥协有助于横向扩展到企业生态系统和加密货币基础设施。供应链妥协机会从可信赖的发展环境中涌现,为坚持、情报收集和货币化活动创造了更多途径。

这些活动不再以孤立的运营轨道形式运作,而是日益成为更大战略框架中相互关联且相辅相成的组成部分。相同的基础设施、人员、凭证生态系统、云访问机制和操作工具可能同时支持间谍活动、金融盗窃、持久化操作以及供应链入侵活动。这一融合使朝鲜运营商能够在多个战役中持续回收接入通道和运营资产,同时降低运营开销并提升战略灵活性。

更广泛的演进反映了从短期入侵行动向持久接入生态系统建设的根本性转变,这些生态系统旨在长期产生循环运行价值。在这种模式中,目标不仅仅是为了牺牲目标,窃取数据或窃取资金,而是建立可重复使用和持久的运营立足点,能够同时支持情报收集、变现、横向扩展以及未来的访问生成。其结果是一个更具韧性和适应性的运营架构,在这种架构中,接入本身成为支撑朝鲜更广泛网络企业的核心战略资源。

虚假IT工作人员运营和内幕访问

朝鲜网络战略中最重要的发展之一是远程信息技术人员远程办公业务的产业化。这些活动利用被盗身份、合成人物、VPN基础设施、促进平台、笔记本电脑养殖场以及远程办公平台,以合法员工或承包商为名,将与朝鲜有关联的人员纳入外国组织内部。

内幕访问模式为朝鲜运营商提供了长期持续性,比传统的基于恶意软件的入侵事件更难被发现。具备合法员工资质、正常的远程工作行为以及通过可信赖的企业工作流程进行访问,可降低可视性,同时提升运营灵活性。

近期美国的执法行动揭示了这一生态系统的规模和复杂性,包括遍布美国的笔记本电脑养殖场,这些农场允许朝鲜人员在境外远程运营企业发放的系统时,能够从地理位置进行本地部署。这些行动表明,朝鲜的网络战略日益将间谍逻辑、劳工欺诈以及持续存在的执法方式融入到统一的运营模式中。

开发人员定位与招聘主题入侵

与内部访问行动并行,与朝鲜有关联的各方通过虚假招聘流程和技术面试,积极扩大针对软件开发者的行动。这些操作在很大程度上依赖于社会工程,并利用现代软件开发和远程招聘实践所蕴含的信任关系。

受害者通常通过伪造的招聘人员或克隆公司身份接触,并被邀请完成编程评估或技术评估。恶意存储库、有毒依赖关系、分阶段开发环境以及隐藏在项目配置文件中的自动化执行机制,随后被用于破坏受害者系统。

这些活动的运营价值不仅在于终端的妥协,还在于战略访问开发者所拥有的。失职的开发者经常提供对以下内容的间接访问:

这反映了朝鲜以哲学为目标的一项重大理论演变。运营商不再直接攻击基础设施,而是越来越多地针对管理和维护关键数字生态系统的可信人类。

加密货币盗窃与金融运营

加密货币盗窃仍然是朝鲜网络活动的主要支柱之一,但这些行动背后的运作模式已远远超出了早期直接交换入侵和投机性金融妥协的时代。当代朝鲜的金融运营日益成为更广泛的接入一体化生态系统的最终中心,在这些生态系统中,凭据盗窃、云妥协、内幕布局以及以开发者为目标的布局,都是最终实现货币化活动的准备阶段。

与朝鲜有关的现代金融运动很少从盗窃本身开始。相反,运营商通过先前的妥协操作,逐步建立了分层访问路径,而这些操作最初可能与加密货币定向功能无关。虚假的IT员工职位可为企业环境提供长期的内幕信息。以开发者为中心的社会工程营销活动可生成对云基础设施、CI/CD 环境、源代码仓库、身份验证系统以及特权通信的访问权限。凭据收集和会话盗窃操作进一步提升了组织生态系统的可见度。当金融盗窃发生时,运营商通常对受害者环境、可信身份、运营工作流程和安全控制拥有广泛的了解。

这些活动的运营能力在向多阶段访问操作转变的同时,已显著提升。当代朝鲜的加密货币盗窃活动如今通常包括快速资产流动、去中心化金融滥用、跨链式洗钱、分布式钱包基础设施、混音器、区块链混淆技术,以及复杂的多阶段金融路由机制,旨在使归因和资产追回更加复杂。被盗资产通常在极短的时间内分散并分散在众多钱包、连锁和中介服务中,从而降低了防御者在资金流入洗钱生态系统之前冻结或追回资金的能力。

这一运营模式反映了对去中心化金融环境的成熟理解,并表明朝鲜运营商如何越来越多地将加密货币生态系统本身的结构特征作为其贸易的一部分加以利用。区块链基础设施、去中心化交易所、代币交换机制和分布式钱包架构不再仅仅是入侵活动的目标,而已成为洗钱和混淆过程的组成部分。

重要的是,支持这些行动的金融基础设施日益与间谍活动和接入接入行动相重叠,从而加强了在现代朝鲜网络活动中所可见的更广泛融合。在开发者目标活动期间使用的基础设施,可能日后支持凭据收集或加密货币盗窃。最初为招聘主题社会工程创建的角色,可能随后有助于内部人员访问或进行云妥协。凭证商店、操作工具和接入路径通常被重复用于多个任务集中,模糊了间谍活动、网络犯罪、内幕行动和金融盗窃之间的区别。

其成果是一个运营生态系统,在这种生态系统中,金融运营不再孤立于犯罪事件,而是由更大规模的国家导向网络架构的相互关联组成部分,旨在产生收入、保护访问权,并在国际制裁压力下维持政权目标。

供应链入侵与可信平台滥用

朝鲜运营商日益转向供应链妥协和可信平台滥用,以实现朝鲜网络运营,并日益转向旨在最大化可扩展性和持久性的接入模式,同时最大限度地减少运营风险。现代广告活动目前并非完全依赖定制的恶意软件框架或专用的命令与控制基础设施,而是经常利用企业环境已经信任的合法数字生态系统。GitHub 存储库、软件包生态系统、云托管服务提供商、SaaS 平台、远程管理工具、区块链基础设施以及企业协作服务都已成为朝鲜运营业务中反复出现的组件。

这一转变反映出一种更广泛的战略认知:滥用可信基础设施通常比传统的以恶意软件为中心的入侵模型更具操作持久性。合法平台自然融合为正常的企业流量模式,使得恶意活动与常规用户行为相区分变得更加困难。与云提供商、协作平台、软件仓库和SaaS环境的连接在现代企业网络中常常显得良性,从而降低了检测的可见性和归因的清晰度。实际上,朝鲜运营商正越来越多地将已与广泛采用的数字服务相结合的信任关系机构武器化。

这种方法的操作优势是巨大的。通过利用可信生态系统而非单纯依赖公开的恶意软件基础设施,朝鲜的行动减少了对易受干扰、沉降或破坏操作影响的固定指挥控制节点的依赖。远程管理工具和云托管环境使运营商能够利用合法的管理路径保持持久性,而软件包存储库和开发平台则提供可扩展的交付机制,能够同时覆盖开发者、企业和下游软件生态系统。

近期涉及区块链托管有效载荷交付机制的操作进一步揭示了向去中心化和具有韧性的基础设施模型的更广泛演进。与攻击者控制的基础设施无关,与其仅将有效载荷或检索逻辑托管在一起,而是与朝鲜相关的活动在区块链生态系统和合法网络服务中日益根深蒂固。这种方法使防御性中断变得复杂,因为底层基础设施本身是分布式的、可信的,且常常超出常规的拆除操作范围。基于区块链的检索机制还减少了对传统上用于威胁搜寻和恶意软件归因的静态基础设施指标的依赖。

累积成果是一种日益以信任剥削为核心的运营模式,而非仅靠技术入侵。目标不再是通过恶意二进制文件来破坏系统,而是将恶意活动嵌入到合法的数字工作流程、可信赖的企业关系以及广泛采用的云生态系统中。这一演变反映了朝鲜网络战略的更广泛成熟,即通过操纵可信赖的技术环境而非单纯地通过传统恶意软件部署来实现持久化、可扩展性、可否认性和操作韧性。

间谍行动与战略情报收集

传统间谍活动仍然是朝鲜网络活动中长期且具有战略重要性的组成部分。政府部门、国防承包商、航空航天公司、政策组织、学术机构和战略技术部门继续被系统性地针对情报收集和长期访问行动进行攻击。这些活动通常以运营耐心和坚持为特征,而非迅速中断或公开的盈利。主要目标是持续地了解决策环境、技术开发、地缘政治规划以及敏感研究生态系统。

从操作上讲,这些间谍活动优先支持长期访问和低噪音的坚持。朝鲜运营商经常专注于维护邮箱的可见性、收集凭据、收集敏感文件、监控通信,以及在云环境中建立持久的访问。运营商往往不会立即利用访问权限进行干扰,而是常常在较长时间内保持立足点,以持续收集情报,并在受害者环境中扩大行动意识。

然而,即使在这些更传统的间谍活动中,朝鲜网络行动中普遍存在的更广泛趋同趋势也日益显现。最初与出于财务动机的活动相关的基础设施如今经常与情报收集行动重叠,而凭证生态系统、云访问机制和操作工具则会在多个任务集中中定期重复使用。在内部部署行动或开发者定向行动期间建立的访问路径可能随后支持情报收集,而以间谍为导向的凭据收集则可能随后促进出于财务动机的操作或供应链上的妥协。

间谍活动、准入生成和创收职能之间日益紧密的融合,反映了朝鲜作战战略的更广泛演变。与情报与金融业务之间僵硬地分离不同,与朝鲜有关的各方似乎正越来越多地在共享访问生态系统中运作,在这种生态系统中,基础设施、身份受损、云持续性机制以及运营资源在各领域持续被回收利用。

结果是一个明显更复杂的归因环境。相同的操作路径可能同时支持间谍活动、变现活动、长期坚持以及访问扩展,从而越来越难以区分一个任务的终点和另一个任务的起点。这种融合进一步强化了这样一种评估:现代朝鲜的网络活动较少作为孤立入侵组织的集合,而更像是一个相互关联的作战架构,旨在并行支持政权生存、战略情报收集以及违抗制裁的创收。

一家支持网络的国有企业的成立

朝鲜网络行动的更广泛演变越来越类似于一个垂直一体化的网络化国家企业的出现,而非由独立行动的孤立入侵团体组成的碎片化集合。随着时间的推移,间谍活动参与者、出于财务动机的运营商、内幕准入计划和供应链妥协活动之间的操作差异不断削弱,使得一个相互关联得多的生态系统逐渐转变,在这种生态系统中,多个运营职能相互加强并维持着。

在这一生态系统中,社会工程活动作为基础的接入机制,通过虚假招聘人员、冒充、钓鱼和开发者定位操作,为组织创造进入目标的渠道。虚假的远程雇佣计划随后以合法工人或承包商为名,将与朝鲜有关联的经营者直接纳入企业环境中,从而将访问权限转化为持久发展。开发者的妥协通过通过可信的软件仓库、CI/CD 管道以及基于云的开发环境,进一步扩展了该漏洞的入侵机会。云妥协有助于在企业基础设施中横向扩展,而加密货币盗窃业务则将访问权限转化为能够绕过国际制裁限制的可访问的系统收入来源。与此同时,情报收集行动利用许多相同的准入途径,支持涉及地缘政治意识、技术获取以及外国机构长期可见度等战略性国家目标。

重要的是,这些操作轨道不再独立运行。在一个作战领域取得成功,直接促进了另一个领域的能力扩展。在招聘主题开发者定向时获得的访问权限,可能随后支持云泄露或加密货币盗窃。企业内部存在欺诈性员工可能提供情报收集机会或促成供应链妥协。间谍活动期间进行的凭据收集后可支持财务运营或持久化活动。朝鲜的网络行动不再局限于独立行动,而是越来越多地作为互联互通的运营管道,在这些管道中,基础设施、人员、资质、工具和接入通道在各任务组中持续被回收利用。

这一作战模式为朝鲜政权提供了若干重大战略优势。生态系统的相互关联性能够增强抵御干扰的能力,因为单个恶意软件家族、基础设施节点或运营活动的丧失并不会从根本上削弱更广泛的能力。在多个任务集中重复使用基础设施和接入通道也使归因变得复杂,从而降低了对某种入侵主要出于间谍目的、出于经济动机或旨在长期坚持的明确性。运营否认性因该制度广泛使用中介机构、虚假身份、去中心化基础设施和合法数字服务而进一步增强。

该模式还支持定期访问生成和多元化的收入来源。朝鲜运营商并非仅仅依赖孤立的盗窃行动,而是通过社会工程、内部布局、可信平台滥用和云持续维护,持续培养新的准入机会。这使得该机制即使在广泛的制裁压力下也能维持网络行动,同时支持战略情报要求和财务目标。

也许最重要的是,该生态系统能够持续重复利用和重新利用运营资产。为招聘活动开发的人员日后可以支持内部人员的招聘。在间谍活动期间被没收的账户可能助长金融盗窃或供应链妥协。最初为恶意软件传输而建立的基础设施,之后可能支持凭据收集、云持久性或操作分期。开发环境、云访问路径以及协作平台的可视性都可以在未来的活动中保留和重用,且运行开销相对较低。

累积效应是一个持久的网络化国家企业的出现,在这种企业中,接入机制、持久化、货币化、情报收集和运营扩展作为更广泛战略体系的集成组成部分,旨在长期维持政权目标。

战略评估

朝鲜网络行动的发展远不止技术先进性或恶意软件开发的逐步改进。随着时间的推移,该政权在实施网络化国家活动的整体方式上出现了更广泛的结构性转变。早前朝鲜的行动通常可分为相对独立的操作手段,例如间谍活动、金融盗窃、扰乱性行动或供应链妥协。然而,这些区别已变得越来越不成立。现代朝鲜网络活动作为一个紧密相连的生态系统运作,在这种生态系统中,间谍活动、网络犯罪、内幕妥协、供应链入侵、以云为重点的访问行动以及金融盗窃,相互构成统一战略架构的组成部分。

在这个不断发展的模型中,曾经看似独立的操作类别,如今已成为更广泛的访问生成和持久化框架的相互依赖的层次。间谍活动可生成凭据和可见性,进而支持货币化活动。欺诈性IT工作者计划能够建立内幕,能够实现情报收集、供应链妥协或金融盗窃。面向开发者的活动有助于访问云环境、CI/CD 管道和加密货币生态系统,从而可同时在多个运营目标上实现。朝鲜运营商似乎不再追求孤立的战术成果,而是越来越专注于构建能够同时支持创收、情报收集、运营持续性和地缘政治影响力的持久接入生态系统。

此次运营转型的核心是战略性地强调对信任本身的剥削。朝鲜的现代行动日益将当代数字生态系统和远程工作文化中的假设武器化。对远程员工的信任成为内幕访问和坚持的一种机制。对软件开发者的信任成为供应链妥协和凭证盗窃的途径。对云平台和SaaS基础设施的信任使运营商能够将恶意活动融入合法的企业工作流程中。对协作平台和通信生态系统的信任,可以预见内部组织动态、运营流程以及特权沟通。即使对合法数字基础设施本身的信任也变得容易被利用,因为朝鲜运营商越来越依赖可信服务、去中心化平台以及广泛采用的企业工具,以掩盖正常运营流量中的恶意行为。

这代表了朝鲜贸易中最重要的战略演变之一。现代朝鲜网络行动的显著特征,不再仅仅是恶意软件的部署或易受攻击的系统的妥协。相反,这是大规模系统性地将可信的人类和技术关系武器化。目标不仅是入侵网络,更是将操作访问嵌入现代企业生态系统本身的可信结构中。在这种模式中,坚持不仅通过技术妥协,而且通过操纵当代数字基础设施所依赖的社会、组织和技术信任关系来实现。

来源：https://krypt3ia.wordpress.com/2026/05/19/threat-intelligence-report-dprk-activity-evolution-through-campaign-linkage/