文章总结： CrowdStrike报告指出朝鲜黑客组织LabyrinthChollima分裂为三大团伙，分别专注间谍活动、加密货币盗窃及巨额资金劫掠，呈现产业化分工趋势。这种变化旨在提升攻击效率以支持政权。文章针对航空航天、加密货币及关键基础设施行业提出了警惕招聘钓鱼、加固漏洞与物理隔离等具体防御建议，强调需针对性设防以应对国家级黑客威胁。 综合评分： 75 文章分类： 威胁情报,安全建设,安全大事件,社会工程学

朝鲜黑客组织大分家！Labyrinth Chollima分裂成3大团伙，一边偷机密一边抢14.6亿美元加密货币

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月9日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

    2026年1月，全球网络安全圈炸了锅——知名安全厂商CrowdStrike发布重磅报告：活跃17年的朝鲜国家级黑客组织Labyrinth Chollima，已正式分裂成三大独立团伙！这三个“同门分支”分工明确：一个专攻高端间谍活动，两个疯狂盗窃加密货币，其中一个还创下过14.6亿美元的盗窃纪录，堪称“网络犯罪界的产业化升级”。

作为Lazarus Group的“同门分支”，这个朝鲜黑客网络的分裂，背后藏着更危险的信号——他们正在用更专业、更隐蔽的方式，为朝鲜政权筹集资金、窃取核心情报。今天就带大家拆解这场黑客组织的“分家大戏”，看看他们的新套路有多狠！

一、17年老牌黑客组织，拆分后各司其职

Labyrinth Chollima可不是新手——自2009年成立以来，它一直是朝鲜网络战的“核心力量”，曾用Velvet Chollima、Black Banshee等多个别名活动，还攻击过韩国核反应堆、COVID-19疫苗研究人员等敏感目标。而这次分裂后，三个团伙彻底“术业有专攻”，形成了“间谍+敛财”的双轨作战模式：

1. Labyrinth Chollima：专攻间谍活动的“情报猎手”

作为“母体”，拆分后的Labyrinth Chollima不再分心敛财，全身心聚焦高端 espionage。它的目标名单堪称“战略级”：

欧洲航空航天企业、国防制造商；

全球物流和航运公司；

美国关键基础设施提供商（包括水力发电企业）。

更狡猾的是，它擅长用“招聘陷阱”搞社会工程学攻击——伪装成企业HR发送招聘邮件，引诱目标行业员工点击恶意链接，进而侵入内部系统窃取机密。这种“精准钓鱼”手法，让不少防护严密的企业防不胜防。

2. Golden Chollima：专注加密货币盗窃的“敛财小队”

这个分支的唯一目标就是“赚钱”，所有行动都围绕加密货币展开。它不像其他黑客那样广撒网，而是精准锁定加密货币交易所、钱包服务商、DeFi项目等“高价值目标”，通过漏洞利用、钓鱼诈骗等方式窃取数字资产，然后快速洗钱转移，把赃款源源不断输送回朝鲜政权。

3. Pressure Chollima：创下纪录的“顶级盗窃团伙”

如果说Golden Chollima是“敛财小队”，Pressure Chollima就是“王牌部队”——它不仅是朝鲜技术最先进的黑客团伙，还创下过全球加密货币盗窃的纪录：去年单起案件就盗走14.6亿美元，相当于近百亿人民币！

它的攻击特点是“快、准、狠”：精准识别目标的安全漏洞，集中力量一击即中，得手后迅速转移资产，让受害者连反应时间都没有。CrowdStrike预测，随着国际制裁加剧，它还会进一步扩大盗窃规模。

二、分家背后：朝鲜的“网络抵抗经济”

为什么Labyrinth Chollima要分裂？核心原因是“规模化作战”的需要。

CrowdStrike的反对手 adversary  operations负责人Adam Meyers一语道破：“随着任务成功，他们的组织不断壮大，官僚体系和任务范围也在扩张。朝鲜多年来一直运作‘抵抗经济’，而网络攻击让他们能在不暴露身份的情况下远程敛财。”

简单说，以前“一个组织干所有活”的模式已经满足不了需求——间谍活动需要长期潜伏、精准渗透，加密货币盗窃需要快速攻击、高效洗钱，拆分后能让每个团伙专注提升专业能力，避免相互干扰。

更值得警惕的是，这三个团伙并非“各自为战”——它们共享部分工具和基础设施，存在集中协调，相当于“分散作战、统一指挥”。这种模式既能提高攻击效率，又能降低被一锅端的风险，让防御变得更困难。

三、危险升级：朝鲜黑客已形成“八大团伙”网络

Labyrinth Chollima的分裂，只是朝鲜黑客网络扩张的一个缩影。目前CrowdStrike已追踪到8个朝鲜支持的独立黑客组织，这些团伙分工明确、相互配合，形成了一张覆盖全球的“网络犯罪网”：

有的专攻政府、国防等高端间谍目标；

有的专注加密货币盗窃；

有的负责开发恶意软件、提供技术支持；

还有的专门从事钓鱼诈骗、账号盗窃等“基础敛财”活动。

这些组织的共同目标，都是为朝鲜政权筹集资金、获取战略情报。尤其是在国际制裁持续收紧的背景下，网络犯罪已成为朝鲜重要的“外汇来源”，而这次Labyrinth Chollima的分裂，意味着他们的“敛财效率”和“间谍能力”都在升级。

四、防护指南：不同行业要防不同“黑客小队”

面对分工明确的朝鲜黑客网络，盲目防御没用，得针对性设防：

1. 航空航天、国防、物流行业：重点防“间谍型黑客”

警惕招聘类钓鱼邮件：核实发件人身份，不轻易点击陌生链接、下载附件；

强化内部数据防护：核心研发数据、客户信息加密存储，严格控制访问权限；

监控异常访问：关注境外IP、陌生设备的登录行为，及时发现数据泄露风险。

2. 加密货币行业（交易所、钱包、DeFi项目）：严防“盗窃型黑客”

加固系统漏洞：定期进行安全审计，及时修复高危漏洞，避免被黑客趁虚而入；

优化资产存储：采用“冷钱包+热钱包”分离模式，减少线上可直接访问的资产规模；

建立异常交易监控：对大额转账、高频交易、异地登录等行为触发二次验证。

3. 关键基础设施企业：全方位防御，不忽视任何细节

隔离核心系统：将生产控制系统与外网物理隔离，避免网络攻击影响实际运营；

定期开展应急演练：模拟黑客攻击场景，提升快速响应和恢复能力；

接入威胁情报：及时获取朝鲜黑客的IOC（Indicator of Compromise），提前拦截攻击。

结语：朝鲜黑客的“产业化升级”，全球都要警惕

Labyrinth Chollima的分裂，标志着朝鲜黑客组织从“全能型”向“专业化、产业化”转型。以前是“一个团伙干所有活”，现在是“专人干专事”——间谍团伙更懂行业漏洞，盗窃团伙更善快速敛财，这种模式让他们的攻击成功率大幅提升。

对企业和机构来说，不能再用“一刀切”的防御思路，而是要根据自身行业特点，针对性防范不同类型的黑客攻击。毕竟，面对分工明确、技术先进的国家级黑客网络，只有精准设防，才能守住自己的核心资产。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《朝鲜黑客组织大分家！Labyrinth Chollima分裂成3大团伙，一边偷机密一边抢14.6亿美元加密货币》