北韓黑客假扮記者套取外國對朝政策情報

Google 旗下網絡安全公司 Mandiant 近日公佈了一份報告，內容指出總部位於北韓平壤的黑客組織APT43（也稱為Kimuski）的犯罪目標和行動方式，更有指北韓黑客組織為北韓人民軍總參謀部偵察總局工作，成員曾假扮美國之音記者，以採訪名義，套取外國官員及學者有關北韓政策，尤其是核安全政策的看法，以取得相關分析。該組織更使用竊取到的加密貨幣支付挖礦 (mining)服務費用，以挖取真正的加密貨幣，最後收獲的資金將會送至中央政府以助減輕財政壓力。

透過釣魚網站竊取密碼

報告中指出，APT43 主要運營目標之一就是竊取帳戶密碼，他們主要滲透南韓的學術界、製造業和國家安全業界中竊取金融相關數據及客戶數據等等，APT43 同時註冊和冒充流行搜索引擎、網絡平台和加密貨幣交易所的域名，旨在收集可用於未來網絡釣魚嘗試的憑證，以滲透感興趣的目標國家，攻擊範圍擴展至南韓、日本、歐洲和美國。

APT43 攻擊國家範圍 - 南韓、日本、歐洲和美國

冒充大量身份

APT43 創建了許多假冒的身份，透過釣魚電子郵件誘騙毫無戒心的用戶來竊取他們的加密貨幣，另外也創建了「掩護身份」，用於購買營運工具和基礎設施。

APT43 偽裝記者的釣魚電子郵件範例

APT43 的主要任務就是為朝鮮政府帶來資金，Mandiant 發現 APT43 利用雲挖礦(mining)來洗清盜取的貨幣，將竊取到的加密貨幣支付挖礦服務的費用，同時再挖取沒有任何可追蹤的加密貨幣。

APT43 洗去不法所得資金的流程

Mandiant 還指出，該組織使用多種支付方式購買基礎設施和硬件，包括PayPal、美國運通卡和其他可用於未來攻擊的服務。

Mandiant 自 2018 年以來，不斷地在追蹤這個黑客組織，也表示這個組織在技術上有一定的水平，且 APT43 已與其他北韓間諜在多次行動中合作，突顯了 APT43 在北韓政府扮演了重要的角色。APT43在多個行動中與其他北韓情報機構合作，顯示它扮演重要角色，又指其行事手法富有創意，任何人都可能成為受害者。