韩国黑客在2025年通过韩国黑客发动的攻击，窃取了价值高达20亿美元的加密货币，Chainalysis披露

朝鲜民主主义人民共和国相关的犯罪集团在2025年加大了在加密货币市场的行动，创下了新的破坏性纪录。根据Chainalysis最新报告，朝鲜黑客在全年内至少窃取了20亿美元的数字资产，比2024年被盗金额增长了51%，这一惊人跳跃使这些集团自首次被记录攻击以来的累计盗窃总额达到67.5亿美元。

战术转变：更频繁的攻击与巨额资金

数据分析显示，朝鲜黑客的策略发生了显著变化。虽然总体事件数量有所增加，但真正的变化在于单次事件的规模。犯罪集团减少了对个人用户的攻击频率，但通过对更大规模的集中基础设施进行破坏性突袭来弥补这一点。

在2025年，朝鲜黑客对企业级平台和服务的违规行为占比高达76%——这是有史以来的最高比例。这种对高影响目标的火力集中，与传统网络犯罪分子偏好分散多目标、追求小额收益的模式形成了鲜明对比。对Bybit集中式服务的攻击造成了14亿美元的损失，正是这种最大化每次行动影响的思维的典型例证。

人工智能与区域基础设施：洗钱技术的指数级提升

朝鲜黑客隐藏被盗资金的过程变得更加复杂。不同于其他犯罪集团通过链上大量转账转移资源，朝鲜相关行动者将赃款拆分成精心控制的份额，单笔交易很少超过50万美元——这充分显示出其操作的高端控制能力。

Chainalysis国家安全情报主管Andrew Fierman向CoinDesk透露，人工智能已成为这一转变的关键驱动力。“朝鲜黑客以一种连贯流畅的方式进行加密货币洗钱，毫无疑问地使用了AI技术，”他表示。洗钱流程通过高度协调的工作流程实现：加密货币混合器、跨链桥和DeFi协议从早期阶段就协同运作，系统性地将资金在不同加密资产之间转换。

这种洗钱工程高度依赖特定的区域中介。朝鲜黑客的钱包显示出对交易所、担保服务和用中文操作的场外交易网络的偏好，以及大量使用桥接和混合平台。值得注意的是，他们普遍避免使用传统的去中心化DeFi协议和点对点交易所，这反映出其在结构上的限制以及对特定地理和语言便利条件的依赖。

精确时间表：45天完成资产最终转换

Chainalysis的事后取证分析发现，资金整合操作具有明显的时间规律。当朝鲜黑客进行大规模盗窃时，资金的转换和隐藏通常持续约45天，经历一系列阶段，从立即的掩盖到最终的多元化投资组合整合。

虽然这一周期并非所有操作都严格遵循，但多年来的反复出现为监管和合规机构提供了宝贵的情报。这种时间上的可预测性为在资金最终流入市场前拦截提供了关键窗口——对于在时间紧迫下工作的安全团队来说，这一信息至关重要。

针对用户的攻击：频率下降，单次金额减少

与对平台的攻击同步，朝鲜黑客对个人钱包的兴趣减弱。2025年，个人账户的违规行为仅占被盗总额的20%，低于前一年的44%。尽管事件总数增加到15.8万次，但每次事件的平均盗取金额下降了52%，总计达7.13亿美元。

这一变化显示出明确的战略考量：朝鲜黑客扩大对普通人的骚扰范围，但将更多资源集中在对企业系统的攻击上，以实现更高的回报，技术复杂度也相应提升。

2026年的展望：无减速迹象的升级

随着2025年的结束，朝鲜黑客的攻击活动没有显示出减缓的迹象。当前的威胁格局呈现出两极分化：一方面是对个体的低价值大规模盗窃，另一方面是少数但灾难性的针对集中式基础设施的事件。朝鲜黑客在第二类攻击中巩固了其地位，成为全球加密生态系统中的关键威胁。

对合规和执法团队而言，这些发现强调了实时检测机制、区域洗钱基础设施监控以及跨境合作的重要性，以打断那些推动这些犯罪活动日益复杂的中介链条。

图像说明

图1：朝鲜黑客的操作网络示意图

结论

综上所述，2025年朝鲜相关犯罪集团在加密货币领域的活动呈现出高度的组织化和技术化趋势。未来，随着技术的不断演进和洗钱手段的不断升级，执法机构和行业应加强合作，采用先进的监控和检测技术，以应对日益复杂的威胁环境。只有通过持续的国际合作和技术创新，才能有效遏制这些犯罪集团的扩张势头，保障全球加密生态的安全与稳定。