• 2025-10-22 18:49:56

新成立的APT组织：APT43的目标与手法

关键要点

根据Mandiant的报告，一个新分类的APT组织APT43有时被称为“金水黑客”与朝鲜的国家侦察局有关，正在积极使用“高产”和“激进”的社交工程战术来攻击美国和西方的政府、智库及学术机构。

虽然平壤拥有多个专门的黑客组织，APT43被认为与独裁者金正恩及其统治精英的个人和地缘政治目标紧密相连。

该组织的主要任务是为“隐士王国”收集战略情报，特别是在外交政策和核武器项目相关问题上，最近还将注意力转向医疗保健领域，可能是因应COVID19疫情的影响。

与许多APT组织不同，APT43并不依赖零日漏洞、独特的恶意软件或先进的入侵技术。他们的作战方式是通过社交工程，伪装成记者、研究人员和其他角色，诱使目标泄露地缘政治洞察或来自被视为对朝鲜利益有敌意的政策制定者和国家的交流信息。

他们主要的工具包括：

Mandiant的首席分析师迈克尔巴恩哈特Michael Barnhart在接受SC Media采访时指出：“他们的复杂性不足，但在数量上弥补这一点，针对100个目标，他们只需要一两个能够上钩，因为这样就能利用一个被攻陷的账户获取联系人，然后立即重复这一过程，针对全新的一组联系人。”

APT43以详细询问目标有关朝鲜武器计划的问题而知名，试图洞悉美国、韩国、日本及西欧政策制定者的决策过程。在一些情况下，该组织被观察到在朝鲜发射导弹或金正恩发表挑衅性声明后的几小时或几天内，迅速发送新的钓鱼邮件，意在评估地缘政治敌对方的反应。

APT43在2017年伪装成记者询问朝鲜导弹发射的一封钓鱼邮件示例。来源：Mandiant

像许多朝鲜黑客组织一样，APT43预计也会通过盗窃和网络犯罪为自己筹集资金。他们通过盗取和洗钱受害者的数字加密货币钱包来实现这一目标，同时利用杂凑租赁和云挖矿服务来生成新的加密货币。这些资金随后用来购买更多的基础设施和工具，以支持他们的黑客活动。

Mandiant的首席分析师约瑟夫道布森Joseph Dobson表示：“通常来说，这个威胁组很灵活，能够采取任何可能的方式获取利益。因此如果他们在受害者的电脑上拥有恶意软件，若你的本地钱包保存在机器上，这些钱包的密钥通常以文件形式存储，而现在很多时候这些文件仍然没有加密，他们可以轻易提取该文件，并获得你的钱包密钥，随意移动资金。”

虽然Mandiant自2018年以来一直在追踪该组织，但如今谷歌旗下的威胁情报单位已将其正式认定为一个高级持续性威