分析指出：北韓駭客今年不法所得高達 20 億美元，霸據全球加密貨幣竊案主要份額

最新發布的加密貨幣犯罪分析報告顯示北韓駭客組織正持續擴大在全球加密貨幣犯罪活動中的影響力。報告統計披露 2025 年全球加密貨幣遭竊金額約為 34 億美元，其中至少有 20.2 億美元來自北韓相關攻擊行動，北韓駭客利用多重手法洗錢，且與「中文系統」高度連動，顯示他們在全球找尋獵物，高度活躍於亞洲，引起美國司法單位關切。

北韓駭客詐騙金額較去年成長 51 ％

剛出爐的 Chainalysis 報告指出北韓涉案金額較去年成長 51%，較 2024 年增加約 6.81 億美元，2025 年已成為北韓發動加密貨幣盜竊行動以來最嚴重的一年，相關攻擊占所有駭客入侵事件的 76 %，創下歷史新高。累計估算，北韓至今至少已竊取 67.5 億美元的加密資產。

Bybit 交易所遭駭事件為最高金額攻擊事件

報告顯示，今年 2 月發生的 Bybit 交易所遭駭事件，是北韓單筆金額最高的攻擊行動，造成約 15 億美元損失。該事件被歸因於名為 TraderTraitor 的威脅組織，亦被稱為 Jade Sleet 或 Slow Pisces。資安公司 Hudson Rock 隨後指出，一台感染 Lumma Stealer 惡意程式的電腦，與該次攻擊所使用的基礎設施存在關聯。

廣告 - 內文未完請往下捲動

這類攻擊被認為是北韓支持的 Lazarus Group 長期行動的一部分。該組織過去十多年來持續針對金融機構與加密貨幣平台發動網路攻擊，並被懷疑涉及上月自南韓最大加密貨幣交易所 Upbit 竊取約 3,600 萬美元資產的事件。Lazarus Group 被普遍認為與平壤偵察總局（RGB）關係密切，僅在 2020 至 2023 年間，便透過至少 25 起加密貨幣竊盜案獲得超過 2 億美元不法所得。

透過 Linkedin 進行社交工程詐騙，引誘求職者

除直接駭入交易所外，北韓駭客亦長期進行名為「夢想工作職業」（Operation Dream Job）的社交工程攻擊。他們透過 LinkedIn、WhatsApp 等平台，假冒招聘人員，以高薪職缺為誘餌接觸國防、科技、航空與製造業從業者，誘使目標下載並執行惡意軟體，藉此竊取敏感資料或建立長期滲透管道。

另一項策略則是所謂的「Wagemole」行動。北韓相關人員以假身分應徵海外企業的資訊科技職位，或透過幌子公司滲透企業內部，取得系統與加密服務的存取權限，進而發動高影響力攻擊。Chainalysis 指出，這種手法能加快駭客在大規模竊盜前的橫向移動與初始存取速度，可能是今年損失金額創新高的重要原因之一。

北韓駭客的洗錢 SOP 曝光、使用大量「中文」系統服務

在資金處理方面，被盜加密資產通常會透過一套結構化的多階段洗錢流程進行轉移。第一階段於攻擊後數日內，利用去中心化金融協議與混幣服務迅速分流資金；第二階段則透過交易所、跨鏈橋與次級混幣服務進行初步整合；最後在約 20 至 45 天內，將資金兌換為法定貨幣或其他資產。報告指出，北韓駭客大量使用 Professional Chinese-Language Money Laundering Service (專業中文洗錢服務) 與 OTC (場外交易) ，顯示與中文地區地下金融網路關係密切。

相關行動亦引起執法機關關注。美國司法部宣布馬里蘭州一名 40 歲男子因協助北韓人員冒用身分從事 IT 工作而遭判刑。調查顯示，該名被告允許居住於中國瀋陽的北韓公民使用其身分，在多家美國企業及政府機構任職，並於 2021 至 2024 年間獲取近百萬美元報酬。

資安專家警告，北韓相關威脅行為正不斷調整策略，從直接入侵系統，轉向更隱蔽且難以察覺的人員滲透與平台濫用手法。隨著加密貨幣與遠端工作的普及，相關風險恐將持續升高，成為各國監管與企業資安防護的重大挑戰。

Bybit 交易所遭駭事件LinkedInprofessional Chinese-language money laundering service加密貨幣詐欺加密貨幣駭客北韓假冒招聘人員北韓駭客北韓駭客用中文洗錢 SOP求職詐騙社交工程詐欺

衍伸閱讀

• 北韓駭客重出江湖？Lazarus 遭指是 Upbit 案兇手，攻擊混幣手法如出一轍
• 美國司法部打擊北韓駭客加密貨幣詐騙網路，追回逾 1,500 萬美元資金