这名 34 岁的嫌疑人仅被披露姓氏为 “G 先生”,于 2025 年 8 月 22 日从泰国曼谷被遣返回韩国。此前,韩国开展了为期四个月的国际追捕行动,最终将其逮捕 —— 该嫌疑人涉嫌从受害者的金融账户及虚拟资产账户中窃取超过 380 亿韩元(约合 2850 万美元)。
这个犯罪组织主要在泰国等海外地区设立办公点运作,于 2023 年 8 月至 2024 年 1 月期间实施了一系列复杂的多向量攻击行动。
该组织的核心作案手法是入侵移动运营商网站及其他网络平台,窃取富豪、名人、企业高管及风险投资公司代表的个人信息。
黑客利用这些被盗数据,未经授权访问受害者的银行账户和加密货币钱包,在数月时间里系统性地转移资产,且未被发现。
初步调查显示,该组织使用的恶意软件结合了复杂的社会工程学手段与针对 Web 应用漏洞的技术利用。
韩国法务部(Moj.go.kr)分析师指出,这种攻击模式是 “自动化工具与人工操作协同配合” 的结果 —— 既最大限度地窃取资金,又规避传统安全监控系统的检测。
(黑客被捕现场图,来源:韩国法务部官网 Moj.go.kr)
此次攻击行动的技术复杂性,从其 “多阶段感染机制” 中可见一斑 —— 该机制在很大程度上依赖于对移动运营商认证系统漏洞的利用。
恶意软件最初通过已被攻陷的门户网站侵入:攻击者在这些网站中注入恶意脚本,用于窃取用户凭证和会话令牌。
侵入网络边界后,恶意代码会通过加密通信通道建立持久化后门,以维持对目标系统的长期控制。
该威胁行为者采用的持久化策略,体现出其对系统管理和网络安全协议的深入了解。
恶意软件通过 “修改注册表” 与 “创建计划任务” 相结合的方式,确保即使系统重启,自身仍能持续运行。
代码分析显示,攻击者使用了经过混淆处理的 PowerShell 脚本 —— 这些脚本定期执行,检查网络连接状态,并动态更新命令与控制(C2)服务器地址。
$encoded = [System.Convert]::FromBase64String($data)
$decoded = [System.Text.Encoding]::UTF8.GetString($encoded)
Invoke-Expression $decoded
该恶意软件的 “反检测机制” 包含多种反分析技术,如环境检测、沙箱识别、运行时加壳等。
此外,恶意软件会不断修改自身文件特征,并采用 “靠岸生存”(Living-off-the-Land)技术 —— 利用 PowerShell、Windows 管理规范(WMI)等合法系统工具执行恶意操作,使其伪装成正常系统进程。
此次引渡成功是国际网络犯罪合作的重大胜利。韩国当局与泰国官方、国际刑警组织(Interpol)及东南亚合作网络(Southeast Asia Cooperation Network)密切协作,在嫌疑人入境泰国仅四个月内便完成了追踪与逮捕工作。
(注:“Moj.go.kr” 为韩国法务部官方网站域名,中文标准译法为 “韩国法务部”;“Living-off-the-Land” 是网络安全领域专业术语,指攻击者利用目标系统中已有的合法工具 / 程序实施攻击,中文通常译为 “靠岸生存技术” 或 “就地取材攻击技术”;“380 亿韩元” 按当时汇率折算约合 2850 万美元,为便于中文读者理解,译文同步标注了美元金额。)
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
