重拳出击让某尼影业滑跪认输、引诱日本黑帮协助洗钱、策划实施孟加拉银行世纪大劫案......以及，近期捞到了加密资产史上最大一笔“黑金”，国家级黑客组织 Lazaro Group 为什么这么猛？

长期以来，受限于特殊的封闭政策以及中文互联网的刻板印象，为我们对某半岛邻国的印象似乎还停留在 90-00 年代“苦难行军”的阶段，隔壁的民众能插上局域网玩玩贪吃蛇已经是得到“慈父”莫大的“恩情”了。

但作为一个持续关注邻国发展、心系半岛局势、爱吃丹东草莓的专业加密行业律师团队（想去邻国旅游的第 1000+ 天），我们知道，其实邻国的计算机技术及黑客人才储备已经偷偷发展至世界前列（至少是全球前十的水平）。

在近些年制裁加剧的情况下，邻国黑客们用着相对落后的计算机硬件，凭借着机智的头脑和机关算尽的手段，策划了一起又一起震惊世界的网络盗窃案，更是成为了加密世界的头号坏蛋：根据第三方技术公司 2022 年的数据，朝鲜近些年通过网络共计取得的加密资产数额已达 30 亿美元左右，某尊贵的迈巴赫车主持有的 BTC 已超过 11000 枚，堪称半岛巨鲸。

这一切的背后，都要归功于一个国家级神秘黑客组织——Lazaro Group。

Lazaro Group，中文名为拉撒路集团，此“拉撒路”并非我国资本市场江湖中的拉撒路、藏獒帮，而是一个由千名顶级黑客组成的强大组织，其名称来源于圣经记载中耶稣最大的一个神迹：复活病死之人拉撒路。

根据韩媒的报道，拉撒路集团是邻国人民军总参谋部下设侦查总局第三局“海外情报局”所管理的特殊网络部队，该部队分为 A 旅和 B 旅，每旅约 1200 人驻扎在邻国平安南道。这支部队据称最早可追溯到上个世纪 80 年代成立的“美林学院”（也称“电子战学校”）后来改名为“平壤自动化大学”，根据自称毕业于该学校的“脱北者”张世烈所述，其入学时这所学校每年仅招收 100 人左右，但基本上每年都有 5000 多个颇具数学天赋的青少年激烈竞争入学名额，每一个毕业生都是优中选优的顶级计算机人才。

这些最优秀的计算机人才，大量加入了拉撒路集团，通过自己聪明的头脑策划了一起又一起网络攻击案件，为半岛的“太阳”突破层层制裁封锁做出了突出贡献。

Bybit 事件其实并不复杂，2025 年 2 月 21 日 14 时 13 分，黑客通过三个 0wner 签名替换 Safe 实现合约，为网络攻击完成铺路。2 月 21 日 23 时 30 分，黑客正式下手，Bybit 以太坊热钱包发生异常资金转移，大约 40 万枚 ETH、stETH 以及少量的 mETH 和泰达币被盗，价值约 15 亿美元。

其实这个事件并没有直接的实锤证据能够证明是拉撒路集团所为，但由于其作案手法与 2024 年比较著名的印度交易所 WazirX 多签钱包被盗案（约 2.3 亿美元）、Radiant Capital 被盗案（约 5 千万美元）以及一贯的“拉撒路手法”极其相似，现在看来拉撒路集团可能又狠狠还上了一笔“恩情”。

总结一下，拉撒路的攻击手法大致如下：

用 Radiant Capital 被盗案举例，2024 年 9 月 11 日，Radiant Capital 的一名开发程序员收到了一条飞机消息，发送者伪装成的一位 Contractor（即外包人员），声称自己接了公司外包项目，正在做智能合约审计，想请这位程序员看看项目报告。这位 Contractor 随后发了一个假 PDF 过去，但其实这个 PDF 是一个 *.app 的软件程序，只要点开运行，这个程序就会在 这位程序员用的 macOS 系统中安一个后门，并和邻国拉撒路用的服务器（“atokyonews[.]com”）连接上。更要命的是，这位程序员大哥不仅自己点了 PDF，还觉得需要让公司其他员工也看看报告研究研究“智能合约”的问题，又把 PDF 转发给了多名同事......

熟读半岛“太阳”光辉网络攻击案例的伙伴们都知道，这招拉撒路都用烂了，在举世闻名的孟加拉央行大劫案中，拉撒路黑客同样伪装成一个名叫 Rasal 的正在求职的 “傻白甜”大学生，向孟加拉银行多名员工的邮箱中发送了求职信，并在邮件中的“简历”位置放上了一个含有病毒的链接，诱骗员工点击完成“下毒”（按照正常逻辑，简历放到附件就好了，哪有人专门弄个链接的）。

在 Bybit 事件中，拉撒路并没有花大力气去破解交易所的多重签名冷钱包安全保护机制，而是通过类似上述欺骗的方式，欺骗并渗透了多重签名执行者的计算机，并植入恶意代码。

在植入恶意代码后，拉撒路集团的黑客伪造了一个与正常 UI 界面几乎一模一样的界面，欺骗多重签名执行者执行了虚假的转账。这时候，很多小伙伴要问了，多重签名不就是用来防止出现这种情况的吗？如果一个签名者被控制、欺骗或错误转账，其他签名者能够进行 double check，及时发现并制止错误的转账，防止资金损失。

飒姐团队只能说，想法很美好，人性很现实。实践中，由于错误转账、被欺骗转账、被网络攻击等是小概率事件，人作为一种会怠惰的动物，其实大部分的签名者在看到别人已经签完后，并不会仔细审核转账，直觉的认为这是一个常规转账，最终导致了这起事件的发生。

从时间上看，黑客下手的时间其实也很妙，选在 2 月 21 日 23 时 30 分（亚洲地区的周五半夜）下手是有讲究的，由于 Bybit 的很多工作人员是中国人，常年生活、居住在亚洲地区，这个时间节点正好是一周工作结束最放松警惕、周六周日又不上班，出了事很可能发现不了或处理起来有延迟的时候，大大增加攻击成功率。

在时间选择上，孟加拉大劫案是拉撒路集团最经典的一个案例：黑客在 2015 年 1 月就已经成功入侵了孟加拉央行，但他们一直等到了 2016 年 2 月 4 日晚上 8 点才下手，这是因为，孟加拉国的作息时间是周天至周四工作，周五周六休息，美联储则是周六周日休息，2016 年 2 月 4 日恰好是周四，那么只要在这一天晚上发动攻击，至少会有一方反应不过来，等双方均发现事情的严重性并联系上的时候，就给了黑客至少 4 天的转移资产时间，时间将会来到 2 月 8 日。最绝的是，2 月 8 日是 2016 年的正月初一，亚洲地区大部分国家都会放假，那么只要将赃款转移至亚洲过春节 + 金融监管洼地的国家实施洗钱行为，那么即使美国、孟加追查起来，只要亚洲国家工作人员还没上班，这钱就追不回来。

不得不说，拉撒路集团真是凭一己之力追平了技术上的差距。

网络攻击取得的巨额财富毕竟是“黑钱”，如果没有非常强大的洗钱手法是不可能将这些钱成功变成迈巴赫的。Bybie 的具体洗钱手法我们暂不得知，但从此前劫案经验来看，邻国不仅拥有强大的洗钱技术，甚至还有非常多的外部白手套。

在孟加拉大劫案上，按照原定计划，黑客获取的 10 亿美金将会分散转移至一些个虚假的非盈利组织账户中，最后汇总到菲律宾，通过菲律宾的赌场规避反洗钱规则（菲律宾认为不应但因反洗钱而影响赌场的生意），最后再通过损耗率较低的类似百家乐的赌博手法将黑钱洗白。

但是，人算不如天算，首先在美联储转账的环节，由于朝鲜指定的收款账户开户行位于一条名叫 JUPITER 的大街，而 JUPITER 这个名字与伊朗一条被制裁的货船同名，因此 JUPITER 上了美联储的敏感词黑名单，8 亿美元的转账马上就触发警报被叫停，仅有 1 亿多美元成功转出。

其次在另一笔 2000 万美元的关键转账中，黑客使用的虚假斯里兰卡非盈利基金会主体名称叫“Shalika Foundation”，由于邻国人民英语水平不好，“Foundation”打成了“Fundation”，导致转账被叫停。最终，仅有 8 千万美元的被盗资金成功在菲律宾赌场洗出。

根据飒姐团队近期对邻国的观察，我们发现邻国正在加快对 AI 技术的研究和应用并正在取得显著的成果，特别是在将 AI 应用到网络攻击时，能够显著弥补拉撒路集团黑客精英们懂技术但不懂英文的尴尬，可以预见的是，这个 Web3 世界的大坏蛋，很可能将在未来很长一段时间内制造更多的麻烦。行业小伙伴们务必警惕，必须做好员工日常防网络攻击培训。

最后，回答题目提出的问题，按照 2024 年最新一代迈巴赫的美国定价 184900 元计算，邻国的“太阳”大约喜提 8112 辆新车。

获取详细资讯，请联络飒姐团队

【 sa.xiao@dentons.cn】

【 guoquan.wang@dentons.cn】

飒姐工作微信：【 xiaosalawyer】

飒姐工作电话：【 +86 171 8403 4530】

想要合法出“U",目前有哪些渠道和方法？

肖飒律师喜获《科技与金融》杂志感谢信！