FBI 查获 1510 万稳定币！北韩骇客渗透 136 家美企内幕曝光

美国司法部上周宣布，已提交申请要求没收价值 1510 万美元的 Tether USDT 稳定币，这些稳定币是从与 APT38 组织有关联的北韩骇客手中缴获的。同时，四名美国公民和一名乌克兰国民认罪，承认帮助北韩 IT 人员渗透到 136 家美国国内公司，这些计划为北韩政权创造了超过 220 万美元的收入。

FBI 缴获 1510 万美元 USDT 稳定币

（来源：美国司法部）

美国司法部于 11 月 14 日宣布，已提起两项民事没收诉讼，试图扣押价值 1,510 万美元的 Tether 稳定币 USDT，该稳定币于 2023 年被北韩骇客窃取。查获的加密货币源自于进阶持续性威胁 38（APT38），这是一个北韩军方骇客组织，曾在 2023 年针对四个海外虚拟货币平台实施了窃盗活动。联邦调查局于 2025 年 3 月查获了这些资金，目前正在寻求法院批准没收这些资产，以便归还给受害者。

此次查获的稳定币来自四起事件，公告并未具体说明是哪四起，但线索表明可能包括：2023 年 11 月交易所 Poloniex 被骇客攻击损失超过 1 亿美元、2023 年 7 月加密货币公司 CoinsPaid 被骇客攻击损失 3700 万美元、同月支付处理商 Alphapo 损失约 6000 万美元，以及一起未指明的「2023 年 11 月从巴拿马的虚拟货币交易所窃取约 1.38 亿美元」的案件。美国司法部尚未公开确认此次没收诉讼涵盖哪些事件。

稳定币作为洗钱工具的案例再次凸显了数位资产监管的紧迫性。USDT 等稳定币因其与美元 1:1 挂钩的特性，在跨境转帐中极为便利，但也因此成为犯罪组织洗钱的首选工具。该机构在声明中表示：「追踪、查获和没收相关被盗虚拟货币的工作仍在继续，因为 APT38 成员继续透过各种虚拟货币桥、混合器、交易所和场外交易商洗钱。」

这次查获行动显示，尽管稳定币在区块链上的交易具有匿名性，但执法机构的追踪能力正在提升。透过链上分析工具和与交易所的合作，FBI 能够追踪被盗稳定币的流向并最终冻结这些资产。这对合法的稳定币使用者是好消息，但也提醒人们注意稳定币在反洗钱方面的监管压力将持续增加。

美国公民变内鬼协助北韩渗透

周五，美国司法部也宣布，已获得四名美国公民和一名乌克兰国民的认罪，他们承认透过提供被盗身分和托管公司笔记型电脑，帮助北韩 IT 工作者以欺诈手段在美国公司获得工作。四名美国公民——24 岁的奥德里克斯·法格纳赛、30 岁的杰森·萨拉扎尔、34 岁的亚历山大·保罗·特拉维斯和 38 岁的埃里克·恩特克雷泽·普林斯——承认犯有电信诈骗共谋罪。

他们向朝鲜工人提供自己的身份信息，并将公司配发的笔记本电脑放在自己家中，使这些工人看起来像是在美国工作。这种操作模式极为隐蔽，北韩 IT 人员实际在平壤或其他地点远程工作,但透过美国公民的身份和网络连接，在公司系统中显示为美国本地员工。这种手法不仅绕过了雇佣外国人的法律限制，也让公司的背景调查失效。

乌克兰公民奥列克桑德·迪登科于 11 月 10 日认罪，承认犯有电信诈骗共谋罪和严重身份盗窃罪，罪名是窃取美国公民的身份信息并将其出售给朝鲜 IT 从业人员。迪登科帮助北韩人在 40 家美国公司获得工作，并同意作为认罪协议的一部分，放弃超过 140 万美元的财产。这个案例显示北韩的 IT 渗透计划已经形成产业链，从身份盗窃、远程设备托管到薪资接收都有专人负责。

美国司法部表示，这些计划影响了超过 136 家美国公司，为北韩政权创造了超过 220 万美元的收入，并泄露了超过 18 名美国公民的身份。虽然 220 万美元相对于整体经济规模并不庞大，但这种渗透带来的战略风险远超经济损失。北韩 IT 人员可能接触敏感技术、客户数据甚至国防相关信息。

北韩 IT 渗透计划核心手法

身份盗窃：窃取或购买美国公民身份信息

远程托管：美国公民在家中托管公司配发的笔记本电脑

虚假定位：透过美国 IP 地址让北韩工作者看起来在美国本地

薪资转移：透过复杂的金融网络将工资转回北韩

北韩加密货币犯罪产业链揭秘

北韩日益依赖加密货币盗窃和远端 IT 工作者计划来获取收入，此举违反了国际制裁。美国联邦调查局、财政部和国务院在 2022 年发布的咨询报告中警告称，北韩的 IT 工作者每年收入可达 30 万美元，他们累计向北韩国防部运营的计划输送了数亿美元。这种收入来源对于面临严厉国际制裁的北韩政权至关重要。

根据 Elliptic 的分析，光是 2025 年，北韩骇客就窃取了超过 20 亿美元的加密货币，使政权成为全球最猖獗的加密货币窃盗行动之一。这个数字远超传统的网路犯罪组织，显示北韩已经将加密货币盗窃视为国家级战略资源。APT38 等骇客组织获得军方支持，拥有高度专业的技术能力和持续的资金投入。

稳定币在这些犯罪活动中扮演关键角色。相比于比特币和以太坊的价格波动，稳定币与美元挂钩的特性使其更适合作为转移和储存被盗资金的工具。骇客通常会先将窃取的加密货币转换为稳定币，然后透过混合器和跨链桥进行洗钱。这种手法既能保持价值稳定，又能利用区块链的匿名性躲避追踪。

然而，稳定币发行商正在加强与执法机构的合作。Tether 曾多次协助冻结与犯罪活动相关的 USDT，这次 FBI 能够查获 1510 万美元 USDT 也显示执法机构与稳定币发行商之间的协作机制日益成熟。对于合法用户而言，这是双刃剑：一方面提升了稳定币的安全性和合规性，另一方面也意味着稳定币的交易并非完全不可追踪。

北韩的加密货币犯罪产业链已经高度成熟，包括骇客攻击、洗钱、身份盗窃和远程 IT 渗透等多个环节。APT38 等组织专门负责攻击加密货币交易所和 DeFi 协议，窃取资金后透过专业的洗钱网络将稳定币转换为现金或其他难以追踪的资产。远程 IT 工作者则提供持续的收入来源，并可能为骇客行动提供内部情报。

稳定币监管与企业防范措施

这起案件对稳定币行业和雇主企业都提出了警示。对于稳定币发行商而言，反洗钱和制裁合规的压力将持续增加。美国财政部外国资产控制办公室（OFAC）已经将多个与北韩有关的加密货币地址列入黑名单，稳定币发行商需要实时监控这些地址并冻结相关资金。

对于企业而言，如何防范北韩 IT 人员的渗透成为新的安全挑战。传统的背景调查可能无法识别使用被盗身份的远程工作者。企业需要加强身份验证流程，包括视频面试、多因素身份认证和持续的行为监控。对于处理敏感信息的职位，可能需要要求员工在办公室工作或通过更严格的安全审查。

美国司法部的这次行动显示，执法机构正在多个层面打击北韩的加密货币犯罪活动。除了追踪和查获被盗稳定币，还在瓦解支持这些活动的基础设施，包括身份盗窃网络和远程托管服务。五名认罪者面临的刑期将向其他潜在协助者发出强烈警告。