文章总结： LazarusGroup是朝鲜侦察总局下属的全球活跃APT组织，自2007年起持续进行间谍情报收集、破坏性攻击和金融犯罪活动。该组织通过攻击金融机构、国防军事、加密货币等领域，为朝鲜获取外汇并收集情报，其攻击手段包括供应链投毒、AI辅助社工等，并已形成多子组织协同的成熟攻击体系。报告详细分析了其攻击时间线、技术特征、恶意软件武器库及防御策略。 综合评分： 87 文章分类： 恶意软件,威胁情报,APT组织,漏洞分析,金融犯罪

Lazarus APT组织深度分析报告

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年6月19日 18:00 广东

在小说阅读器读本章

去阅读

目录

1. 组织概述与背景
2. 组织架构与子组织
3. 攻击活动时间线
4. 核心攻击行动深度拆解
5. 技术特征与TTP分析
6. 恶意软件武器库
7. 金融犯罪版图
8. 社工手法与供应链攻击
9. MITRE ATT&CK映射
10. 检测与防御策略
11. 执法行动与制裁
12. 未来趋势预测

1 组织概述与背景

Lazarus Group是全球最活跃、最具破坏力的国家级APT组织之一，隶属于朝鲜民主主义人民共和国侦察总局（Reconnaissance General Bureau, RGB）。该组织自2007年以来持续活跃，是少数同时具备间谍情报收集、破坏性攻击、金融犯罪三大能力的威胁行为者。

1.1 基本画像

| 属性 | 详情 | | — | — | | 组织名称 | Lazarus Group | | 归属机构 | 朝鲜侦察总局（RGB） | | 首次活跃 | 2007年（Operation Flame） | | 主要动机 | 情报收集、金融窃取、破坏性攻击 | | 目标地域 | 全球（重点：韩国、美国、日本、欧洲、东南亚） | | 目标行业 | 金融机构、国防军事、加密货币、政府、能源 | | MITRE ID | G0032 | | 别名 | HIDDEN COBRA、Labyrinth Chollima、ZINC、Diamond Sleet、NICKEL ACADEMY、Guardians of Peace |

1.2 战略定位

Lazarus Group的攻击活动与朝鲜国家战略高度一致：

• 外汇获取：朝鲜受国际制裁限制，网络犯罪成为重要外汇来源。联合国专家组估计，朝鲜通过网络攻击累计获取超过36亿美元加密货币和法币，用于资助核武器与导弹研发项目
• 情报收集：针对韩国、美国、日本等国的国防、军事、外交机构进行长期间谍活动
• 破坏性威慑：通过破坏性攻击展示网络战能力，对敌对国家施加压力
• 技术窃取：针对航空航天、核技术、军工企业进行知识产权窃取

1.3 组织演变

朝鲜网络作战力量经历了多次重组：

| 阶段 | 时间 | 组织形态 | 特征 | | — | — | — | — | | 初创期 | 2007–2012 | Unit 180 / Lab 110 | 以DDoS和破坏性攻击为主，技术相对粗糙 | | 转型期 | 2013–2016 | RGB直属网络部队 | 引入金融犯罪能力，SWIFT攻击标志着质的飞跃 | | 扩张期 | 2017–2020 | 多线并行运营 | WannaCry全球影响、加密货币攻击兴起、子组织分化 | | 成熟期 | 2021–2024 | RaaS化与供应链攻击 | 供应链投毒、DeFi攻击、跨平台能力扩展 | | AI时代 | 2025–至今 | AI增强攻击 | AI辅助社工、Deepfake、自动化漏洞利用 |

2 组织架构与子组织

Lazarus Group并非单一实体，而是朝鲜多个网络作战单位的统称。不同子组织共享基础设施、恶意代码和操作手法，但各有侧重。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《Lazarus APT组织深度分析报告》