文章总结： 朝鲜APT组织Lazarus和Kimsuky采用基础设施复用与工具标准化策略，构建包含FRP隧道和各类窃密工具的攻击军火库。其Badcall后门具备日志记录功能，且多台服务器共用证书与配置。建议防御方监控特定日志文件、拦截异常FRP隧道流量、关闭公开目录并警惕重复使用的证书关联。 综合评分： 85 文章分类： 威胁情报,恶意软件,红队

朝鲜APT组织组开“工具超市”了！Lazarus藏2GB攻击军火库，FRP隧道当“隐身衣”

原创

紫队

AI紫队安全研究

2026年1月2日 12:00 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    “黑客还带写日志的？” 最近安全圈的一个新发现，让研究员们哭笑不得。朝鲜APT组织Lazarus和Kimsuky在2025年搞出了新操作——不仅把攻击工具打包成“超市货架”公开存放，还给恶意软件加了日志功能，生怕自己忘了“偷过啥”。

从3CX供应链攻击余波，到2GB的“攻击军火库”曝光，这两个朝鲜黑客组用一套“基础设施复用+工具标准化”的套路，在全球范围内疯狂搞事。今天就来拆解他们的“搞笑又嚣张”的攻击操作，看完你会发现：黑客界的“卷王”，居然是他们！

一、黑客界的“日志达人”：恶意软件还带写日报

Lazarus今年更新的Badcall后门，堪称“黑客界的模范员工”——居然自带日志功能，每天兢兢业业记录“工作内容”。

这个后门是Linux版本，专门用来搞后渗透，和2023年3CX供应链攻击里的版本师出同门。但这次升级后，它会在受害者电脑的/tmp目录下创建sslvpn.log文件，用[YYYY-MM-DD HH:MM:SS] + 数字代码的格式，记录自己的每一步操作：什么时候连接C2服务器、什么时候偷数据、什么时候发送指令，全都记得明明白白。

研究员推测，这是黑客怕攻击目标太多记混，特意加的“工作台账”。更搞笑的是，日志里的数字代码对应不同操作，只有他们自己能看懂，活像“黑客内部暗号本”。不过这也给防御者留了破绽——只要监控这个日志文件，就能第一时间发现被入侵。

二、公开的“攻击超市”：2GB工具随便拿

如果说写日志是“谨慎”，那Lazarus开的“工具超市”就是“嚣张”了。他们把攻击工具存放在公开的网络目录里，相当于把“军火库”敞开大门，谁都能看。

安全研究员发现，仅一个亚太地区的服务器，就存放了10731个文件、1222个子目录，总大小近2GB。里面的工具堪称“应有尽有”：

窃密工具：MailPassView、ChromePass等，专门偷浏览器密码、邮件账号；

攻击神器：sqlmap、nmap、masscan，用来扫描漏洞、批量攻击；

隧道工具：FRP、gost、microsocks，负责隐藏攻击流量；

远程控制：Quasar RAT，能远程操控受害者电脑，想干啥就干啥。

更离谱的是，这个“超市”连Burp Suite注册机、Mimikatz盗号工具都有，甚至还有攻击者的截图、相机照片，活像“黑客的个人电脑不小心公开了”。看来Lazarus是把公开目录当成了“工具网盘”，方便全球各地的黑客成员随时下载使用。

三、FRP隧道“流水线”：8台服务器一模一样

Lazarus的另一个“骚操作”，是搞了8台一模一样的FRP（快速反向代理）服务器，组成“隧道流水线”。

这8台服务器分布在亚太地区，全都用相同的配置、相同的10MB FRP二进制文件，监听相同的9999端口。它们的作用就像“黑客的隐身衣”——把攻击者的真实IP藏在后面，就算受害者发现异常流量，也只能追踪到这些中转服务器。

更懒的是，这些服务器都是自动化部署的，连配置都不带改的。研究员推测，Lazarus是把FRP当成了“标准组件”，不管攻击哪个目标，先搭个隧道再说。这种“流水线作业”，让他们能同时开展多个攻击，效率拉满。

四、证书“一证通”：12台服务器共用一个“身份证”

朝鲜黑客组的“省钱小技巧”也被发现了——Lazarus用同一个证书，绑定了12台服务器。

这些服务器分布在美国、欧洲等地，全都开放3389远程桌面端口，供黑客远程登录操作。相当于用一张“身份证”注册了12个“账号”，方便管理不说，还能降低被溯源的风险。更有意思的是，其中两台服务器还和另一个朝鲜APT组织Bluenoroff有关联，看来他们之间还搞“资源共享”，真是“一家人不说两家话”。

五、攻击套路大拆解：四步走拿下目标

Lazarus和Kimsuky在2025年的攻击套路，其实很固定，堪称“标准化作业流程”：

1. 钓鱼敲门：Kimsuky用“VPN账单”“招聘评估”当诱饵，发送钓鱼邮件，植入HttpTroy后门或MemLoad加载器；

2. 隧道搭桥：一旦入侵成功，就部署FRP隧道，建立隐身C2通道，躲避防火墙检测；

3. 工具下单：从“公开工具超市”下载窃密工具、远程控制软件，批量窃取凭证和敏感数据；

4. 长期驻留：用Badcall后门建立持久化，还不忘写日志“记录战果”，方便后续再来偷。

他们最爱的目标是金融机构、加密货币平台和科技公司，今年已经多次被指控参与加密货币盗窃案，涉案金额动辄数百万美元。

六、防御者的“反制指南”：抓准这4个破绽

虽然朝鲜黑客组搞得风生水起，但他们的套路有明显破绽，针对性防御就能轻松化解：

1. 盯紧日志文件：监控Linux服务器的/tmp/sslvpn.log文件，一旦出现就立刻隔离，这是Badcall后门的“铁证”；

2. 拦截FRP隧道：禁止服务器向外连接9999端口的FRP服务，或者检测相同大小（10MB左右）的FRP二进制文件；

3. 扫描公开目录：企业内部服务器如果有公开目录，要及时关闭，避免被黑客当成“工具仓库”；

4. 警惕异常连接：监控异常开放3389端口的境外IP连接，尤其是多个服务器共用同一证书的情况，及时阻断风险。

结语：黑客的“标准化”，反而成了破绽

Lazarus和Kimsuky的操作，完美诠释了“成也标准化，败也标准化”。他们把攻击工具、隧道、证书都做成“标准组件”，虽然提高了效率，但也留下了大量可追踪的痕迹——写日志、公开目录、相同FRP配置，每一个都是防御者的“突破口”。

2025年的APT战场，朝鲜黑客组用“搞笑又嚣张”的操作证明：就算工具再先进，只要套路固定，就迟早被抓包。而对我们来说，只要摸清这些“标准化破绽”，就能轻松筑起防御墙。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《朝鲜APT组织组开“工具超市”了！Lazarus藏2GB攻击军火库，FRP隧道当“隐身衣”》