研究人员警告称，俄罗斯和朝鲜可能正在同步进行网络攻击

Gendigital 的安全研究人员警告说，俄罗斯和朝鲜国家支持的黑客——世界上最具攻击性的两个网络攻击者——在发现两个组织在不同的网络攻击中使用相同的命令和控制服务器后，可能首次合作。

两大 APT 组织之间罕见的协调迹象

2025 年 7 月 24 日，Gen 的监控系统在跟踪 Gamaredon 已知的命令和控制服务器时检测到一个 IP 地址 - 144[.]172[.]112[.]106。 Gamaredon 是一个臭名昭著的俄罗斯间谍组织，以快速入侵而闻名，与俄罗斯联邦安全局 (FSB) 有联系，去年发动了 5,000 多次袭击，其中大部分针对乌克兰。

另请阅读：中国黑客在电信网络攻击中复活 PlugX

但接下来发生的事情让安全研究人员感到惊讶。

仅仅四天后，同一台服务器就开始传播与朝鲜最危险的黑客组织 Lazarus 相关的恶意软件。研究人员将有效负载识别为 InvisibleFerret，这是一个与 Lazarus 相关的后门，通过之前在 ContagiousInterview 中看到的相同服务器结构进行传递，ContagiousInterview 是一项针对求职者的虚假招聘信息活动。

虽然服务器可能是代理或 VPN 端点，但两个组的活动在时间上接近、时间安排和相同的交付设置增加了两个组共享或顺序控制的可能性 - 表明潜在的协作而不是巧合。

为什么这一发现很重要 

如果得到证实，这将是俄罗斯与朝鲜在主动活动中进行网络合作的第一个已知实例。这种伙伴关系极为罕见；过去最著名的例子是Regin，据信是由美国和英国情报机构共同开发的。

如果俄罗斯和朝鲜确实在网络空间进行合作，这将标志着全球网络攻击方式的重大转变，因为每个组织都拥有强大的优势：

• 加马雷东（俄罗斯）带来了丰富的间谍经验和快速部署，以及针对政府和军事网络的持续活动。
• 拉撒路（朝鲜）以价值超过 17 亿美元的复杂金融盗窃而闻名，帮助该国政府筹集资金。

它们可以将情报收集、金融盗窃和全球破坏结合在一起，从而使人们更难了解攻击的幕后黑手或目标是什么。

黑客联盟的更广泛趋势

虽然跨境 APT 合作很少见，但 Gamaredon 与 Lazarus 的重叠反映了国家网络生态系统内合作的增长趋势。

• 与 Lazarus 相关的 IP 后来在恶意软件中出现，该恶意软件归因于另一个朝鲜 ATP 组织 Kimsuky，该组织自 2012 年左右以来一直活跃。
• 发现 DoNot 恶意软件样本加载了 SideWinder 使用的组件，据信这两个组件都与印度有联系，并分别自 2013 年和 2012 年以来一直活跃。

这些案例表明，网络世界可能正在转向更多合作或共享资源——无论是有意的还是出于操作便利。

安全团队需要准备什么

研究人员表示，防御者必须重新思考如何识别和分类威胁。安全团队不应假设攻击背后有单一参与者，而应：

• 跟踪组之间的共享服务器
• 重叠的域和 URL
• 不同 APT 团队使用的恶意软件加载程序
• 更快、更不可预测的攻击

网络战的新阶段？

这一发现令人震惊，因为强大的民族国家黑客组织之间的联盟极为罕见。研究人员表示，随着俄罗斯和朝鲜在政治和军事上的关系日益密切，这种新模式可能是双方伙伴关系现已扩展到网络空间的第一个信号。

专家警告说，如果是这样，孤立的黑客组织的时代可能即将结束，为新一波网络威胁铺平道路，而新一波网络威胁可能比以前更加协调。