研究人員警告稱，俄羅斯和朝鮮可能正在同步進行網絡攻擊

Gendigital 的安全研究人員警告說，俄羅斯和朝鮮國家支持的黑客——世界上最具攻擊性的兩個網絡攻擊者——在發現兩個組織在不同的網絡攻擊中使用相同的命令和控制服務器後，可能首次合作。

兩大 APT 組織之間罕見的協調跡象

2025 年 7 月 24 日，Gen 的監控系統在跟踪 Gamaredon 已知的命令和控制服務器時檢測到一個 IP 地址 - 144[.]172[.]112[.]106。 Gamaredon 是一個臭名昭著的俄羅斯間諜組織，以快速入侵而聞名，與俄羅斯聯邦安全局 (FSB) 有聯繫，去年發動了 5,000 多次襲擊，其中大部分針對烏克蘭。

另請閱讀：中國黑客在電信網絡攻擊中復活 PlugX

但接下來發生的事情讓安全研究人員感到驚訝。

僅僅四天后，同一台服務器就開始傳播與朝鮮最危險的黑客組織 Lazarus 相關的惡意軟件。研究人員將有效負載識別為 InvisibleFerret，這是一個與 Lazarus 相關的後門，通過之前在 ContagiousInterview 中看到的相同服務器結構進行傳遞，ContagiousInterview 是一項針對求職者的虛假招聘信息活動。

雖然服務器可能是代理或 VPN 端點，但兩個組的活動在時間上接近、時間安排和相同的交付設置增加了兩個組共享或順序控制的可能性 - 表明潛在的協作而不是巧合。

為什麼這一發現很重要 

如果得到證實，這將是俄羅斯與朝鮮在主動活動中進行網絡合作的第一個已知實例。這種夥伴關係極為罕見；過去最著名的例子是Regin，據信是由美國和英國情報機構共同開發的。

如果俄羅斯和朝鮮確實在網絡空間進行合作，這將標誌著全球網絡攻擊方式的重大轉變，因為每個組織都擁有強大的優勢：

• 加馬雷東（俄羅斯）帶來了豐富的間諜經驗和快速部署，以及針對政府和軍事網絡的持續活動。
• 拉撒路（朝鮮）以價值超過 17 億美元的複雜金融盜竊而聞名，幫助該國政府籌集資金。

它們可以將情報收集、金融盜竊和全球破壞結合在一起，從而使人們更難了解攻擊的幕後黑手或目標是什麼。

黑客聯盟的更廣泛趨勢

雖然跨境 APT 合作很少見，但 Gamaredon 與 Lazarus 的重疊反映了國家網絡生態系統內合作的增長趨勢。

• 與 Lazarus 相關的 IP 後來在惡意軟件中出現，該惡意軟件歸因於另一個朝鮮 ATP 組織 Kimsuky，該組織自 2012 年左右以來一直活躍。
• 發現 DoNot 惡意軟件樣本加載了 SideWinder 使用的組件，據信這兩個組件都與印度有聯繫，並分別自 2013 年和 2012 年以來一直活躍。

這些案例表明，網絡世界可能正在轉向更多合作或共享資源——無論是有意的還是出於操作便利。

安全團隊需要準備什麼

研究人員表示，防御者必須重新思考如何識別和分類威脅。安全團隊不應假設攻擊背後有單一參與者，而應：

• 跟踪組之間的共享服務器
• 重疊的域和 URL
• 不同 APT 團隊使用的惡意軟件加載程序
• 更快、更不可預測的攻擊

網絡戰的新階段？

這一發現令人震驚，因為強大的民族國家黑客組織之間的聯盟極為罕見。研究人員表示，隨著俄羅斯和朝鮮在政治和軍事上的關係日益密切，這種新模式可能是雙方夥伴關係現已擴展到網絡空間的第一個信號。

專家警告說，如果是這樣，孤立的黑客組織的時代可能即將結束，為新一波網絡威脅鋪平道路，而新一波網絡威脅可能比以前更加協調。