UNC4736，也被称为 Citrine Sleet，是一个复杂的、据称由国家支持的高级持续性威胁（APT）组织，被归因于朝鲜。该组织主要受经济利益驱动，专门从事针对加密货币、去中心化金融 (DeFi) 和金融科技 (fintech) 领域的大规模网络犯罪和间谍活动。UNC4736 以执行复杂的多阶段攻击活动而闻名，其中包括软件供应链破坏、零日漏洞利用以及精心设计的社会工程方案，旨在为朝鲜政权获取收入。其活动与长期针对加密货币的“AppleJeus 行动”（MITRE ATT&CK ID: G1049）密切相关。^{[1] [2] [7]}

概览

UNC4736 被多家网络安全机构以不同名称进行追踪。Mandiant 使用 UNC4736 这一代号，其中“UNC”表示发现时该威胁组织处于“未分类”状态。微软将该攻击者追踪为 Citrine Sleet。其他别名包括 Labyrinth Chollima、Gleaming Pisces、Hidden Cobra 和 UNC1720。该组织的活动还广泛与“AppleJeus”行动（G1049 组织）相关联，这一术语既指他们部署的恶意软件家族，也指该威胁集群本身。^{[3] [1] [7] [8]}​

该组织被归因于朝鲜侦察总局（RGB），特别是 121 局。它被认为是臭名昭著的 Lazarus Group 的一个子集群，并且与另一个朝鲜攻击者 APT43（也称为“Kimusky”）在战术上存在显著重叠。^{[4] [2] [8]} UNC4736 的主要目标是通过窃取加密货币资产获取外汇，以帮助朝鲜民主主义人民共和国（DPRK）规避国际制裁，并为其国家活动（包括武器计划）提供资金。其攻击目标通常包括加密货币交易所、DeFi 协议、风险投资公司、基于区块链的游戏公司，以及行业内的软件开发人员和高管等高价值个人。^{[5] [9]}​

历史与重大事件

UNC4736 与针对数字资产行业的一些最重大且最复杂的网络攻击有关，展示了其在战术和技术能力上的持续演进。

AppleJeus 行动 (2018年至今)

“AppleJeus 行动” (G1049) 是一项最早于 2018 年左右被发现的攻击活动，标志着朝鲜黑客组织开始协同发力针对加密货币行业。最初的攻击涉及开发和分发带有木马但具备实际功能的加密货币交易应用程序，例如 CelasTradePro 和 UnionCryptoTrader。这些应用程序旨在诱骗加密货币公司的投资者和员工，最初侧重于 macOS 用户，随后扩展到 Windows 平台。这些应用程序包含后门，允许攻击者进行监视并窃取资金。 ^{[1] [2] [7]}​

3CX 供应链入侵事件 (2022–2023)

在2023年最受关注的供应链攻击之一中，UNC4736 被确定为针对知名 VoIP 软件公司 3CX 入侵事件的幕后黑手。这是一次复杂的两阶段供应链攻击。行动始于一名 3CX 员工从 Trading Technologies 合法但已被入侵的网站下载了带有木马的 X_TRADER 软件包。这使得攻击者获得了 3CX 企业网络的初始访问权限，随后他们利用合法的 VPN 凭据提升了权限。 ^{[3] [1] [7]}​

随后，该组织入侵了 3CX 的 Windows 和 macOS 构建环境。他们在 3CX 桌面应用程序的合法软件更新中嵌入了恶意软件，并将其分发给全球数千名 3CX 客户。虽然最初的恶意更新传播广泛，但威胁行为者有选择地向少数高价值目标（特别是加密货币和国防领域的客户）部署了二级载荷，如 Gopuram 后门和 VEILEDSIGNAL 恶意软件。这种选择性针对性表明其明确专注于间谍活动和高价值财务窃取，并使用 ICONICSTEALER 等工具从受害者处窃取浏览器数据。 ^{[3] [7]}​

Chromium 零日漏洞攻击活动 (2024年8月)

2024年8月，微软威胁情报团队报告称，Citrine Sleet 正在积极利用开源 Chromium 浏览器引擎中一个当时尚未公开的零日漏洞。该攻击活动涉及一条复杂的攻击链，始于针对区块链开发者的社交工程诱饵，例如虚假的职位邀请。 ^{[1] [4]}

目标被引导至一个漏洞利用域名 voyagorclub[.]space，该域名利用 Chromium V8 JavaScript 引擎中的类型混淆漏洞 (CVE-2024-7971) 来实现远程代码执行。紧接着，攻击者利用 Windows 内核漏洞 (CVE-2024-38106) 逃逸浏览器沙箱并获得系统级访问权限。最终负载是 FudModule 根管理器（rootkit）的更新版本，直接加载到内存中以建立隐蔽的持久性，并干扰 Microsoft Defender、Crowdstrike Falcon 和 HitmanPro 等安全工具。随后，攻击者部署了 AppleJeus 木马以窃取凭据和加密货币资产。此次攻击活动突显了该组织获取并利用高价值零日漏洞的顶级能力。 ^{[4] [8]}

Radiant Capital 劫案 (2024年9月–10月)

2024年末，UNC4736 成功攻击了去中心化金融（DeFi）借贷平台 Radiant Capital，导致价值约 5000 万美元的加密货币被盗。渗透始于 2024 年 9 月的一次社交工程攻击，攻击者在 Telegram 上冒充前承包商，以建立与 Radiant 开发者的信任。该开发者最终被诱骗下载了一个恶意的 ZIP 压缩包。^{[6] [9]}

该恶意压缩包包含名为 InletDrift 的 macOS 恶意软件变体，它在开发者的机器上安装了后门。在获得初步立足点后，该组织进行了横向移动，入侵了多个开发者设备以提升权限。最终，他们在 2024 年 10 月破坏了平台的平台多重签名（multi-sig）流程，授权了欺诈性交易，并从 Arbitrum 和 Binance 智能链上的 Radiant 市场中抽走了资金。据观察，该组织使用了经过精心伪装身份的第三方中间人，旨在通过尽职调查。尽管 Radiant 使用了标准的安全性模拟，但攻击的成功凸显了该组织战术、技术和程序（TTPs）的欺骗性和规避性。^{[6] [9]}

Drift Protocol 漏洞利用事件 (2025年秋季–2026年4月)

2026 年 4 月 1 日，去中心化交易所 Drift Protocol 宣布发生了一场灾难性的漏洞利用事件。攻击的核心并非智能合约缺陷，而是针对多签签署者的社交工程攻击。其中一名贡献者在克隆了一个恶意代码库后被入侵，而另一名贡献者则被诱导下载了一个恶意的 TestFlight 应用程序。 ^{[12] [11] [10]}

为了执行这次攻击，攻击者利用获取的多签签署者权限，伪造了一种虚假代币（CarbonVote Token，简称 CVT），并部署了预签名交易将其列为合法抵押品。他们通过刷量交易（wash trading）制造了虚假的价格历史，从而欺骗 Drift 的预言机，将这种毫无价值的代币估值为数亿美元。4 月 1 日，这种操纵行为使他们能够从协议中抽走价值约 2.85 亿美元的真实资产，如 USDC 和 JLP。链上分析显示，攻击的初始资金与受制裁的混币器 Tornado Cash 的提款有关，并表明被盗资金在劫案发生后迅速从 Solana 跨链转移到了 Ethereum。 ^{[11] [5] [12]}

战术、技术和程序 (TTPs)

UNC4736 采用了一套多样化且复杂的 TTPs，将先进的社会工程学与高水平的技术专长相结合。

社会工程学与侦察

该组织的行动通常以细致的侦察和长期的社会工程学活动为先导。

• 长期诱导行动： 他们会与目标接触数月以建立信任并消除疑虑，例如针对 Drift 协议进行的为期六个月的行动。这包括冒充合法的实体，如交易公司、风险投资机构（VC）或猎头。 ^[5]
• 利用中介： 该组织雇佣持有虚假身份的非朝鲜籍人士作为公开面孔，使他们能够参加国际会议的面谈并通过尽职调查。这些虚假人格拥有完整的、伪造的从业经历和职业网络支持。 ^{[5] [9] [10]}
• 冒充与鱼叉式网络钓鱼： 他们在 LinkedIn 和 Telegram 等平台上冒充知名的同事或专业人士，发起鱼叉式网络钓鱼攻击，通常以虚假的工作邀约或技术讨论为诱饵。 ^[6]

初始访问

UNC4736 使用多种方法获取目标网络的初始访问权限。

• 软件供应链攻击： 这是一种标志性战术，例如 X_TRADER 及其后 3CX 的嵌套式入侵。 ^[3]
• 零日漏洞利用： 该组织已展示出利用先前未知的漏洞（如 Chromium 零日漏洞 CVE-2024-7971）来获取初始访问权限的能力。 ^[4]
• 木马化应用程序： 通过看似合法的软件分发恶意代码，例如木马化的加密货币交易应用或 npm 上的恶意包。 ^{[1] [7]}
• 利用面向公众的应用程序： 他们利用 VSCode 和 Cursor 等广泛使用的开发工具中的漏洞来实现任意代码执行。 ^{[12] [5]}

执行、持久化与防御规避

一旦进入网络，该组织会使用先进技术来维持访问并避免被发现。

• 代码签名： 恶意文件通常使用合法的（有时是窃取的或即将过期的）数字证书进行签名，以显得值得信赖。 ^[3]
• 进程注入与反射加载： 该组织将 C2 模块注入合法浏览器进程的内存中，并使用 DAVESHELL 等开源工具将载荷直接加载到内存中，从而绕过基于磁盘的检测。此外，他们还使用 SigFlip 工具在不使签名失效的情况下将代码注入已签名的文件中。 ^[3]
• 载荷混淆与延迟执行： 载荷经常使用 AES-256 GCM 或 RC4 等方法进行加密。恶意软件通常被配置为休眠随机时长（1 到 4 周），以规避沙箱和行为分析。 ^{[3] [7]}
• 持久化机制： 该组织利用 macOS 的 Launch Daemons 来维持 POOLRAT 后门的持久化，并在 Windows 上通过 DLL 搜索顺序劫持，利用 IKEEXT 服务加载 TAXHAUL 后门。 ^[3]
• C2 通信： 该组织曾利用 GitHub 仓库托管死信解析器（dead drop resolvers），C2 通信通过 HTTPS 进行，并利用 Cookie 请求头进行数据外泄。 ^[7]

链上攻击技术

UNC4736 展现了在区块链特定攻击向量方面的精湛技术。这些技术包括预言机操纵（Oracle Manipulation），该组织通过创建虚假代币，利用自成交洗盘交易（Wash Trading）制造虚假的价格历史，并使协议的预言机为该无价值资产登记一个虚假的高估值，随后将其用作抵押品。这是 Drift 协议漏洞利用的关键组成部分。该组织还因利用 持久随机数攻击（Durable Nonce Attack） 等特性而闻名，即受害者在看似合理的借口下签署的交易不会过期，从而允许攻击者在更晚、更有利的时机执行该交易。 ^{[5] [11] [12]}

链上洗钱

UNC4736 采用激进且快速的链上洗钱技术来掩盖被盗资金的来源。这包括使用受制裁的加密货币混币器，如 Tornado Cash，不仅用于劫案后的洗钱，还用于获取行动的初始资金，从而掩盖攻击源头。在利用漏洞后，该组织会迅速通过大型单笔交易将盗取的资产跨链转移（例如，从 Solana 转移到 Ethereum）。他们利用剥离链（peel chains）等方法，通过一系列复杂的交易将资金转移到多个新钱包中，以切断链上追踪线索并增加追踪难度。^[11]

恶意软件与工具

UNC4736 在其行动中混合使用了定制、共享和开源工具。

工具名称	类型	描述
AppleJeus (G1049)	恶意软件家族	该行动中所用恶意软件的总称，通常通过被植入木马的加密货币应用进行分发。作为最终载荷部署，用于窃取加密资产。 [7]
Gopuram	后门	一种复杂的第二阶段后门，部署在高价值目标上，用于持久化和数据窃取。 [3]
POOLRAT	后门	专门为 macOS 系统设计的后门，用于持久化。 [1] [7]
TAXHAUL	后门	用于数据外泄的后门，在 3CX 供应链攻击事件中被显著部署。 [1]
FudModule Rootkit	Rootkit	一种复杂的仅限数据的 Windows Rootkit，在内核层运行以实现持久化并规避安全软件。其更新版本可以干扰 Microsoft Defender、Crowdstrike Falcon 和 HitmanPro 等安全工具的受保护进程。 [4] [8]
ICONICSTEALER	信息窃取程序	在 3CX 事件期间部署的工具，用于从受感染系统中外泄浏览器历史记录、Cookie 和凭据。 [3] [7]
InletDrift	macOS 恶意软件	在 Radiant Capital 劫案中使用的一种定制恶意软件变体，用于在开发者的系统中创建后门。 [6]
VEILEDSIGNAL	恶意软件模块	该组织用于通信和执行的恶意软件家族，利用进程注入和 Windows 命名管道。是 3CX 供应链攻击中的关键载荷。 [1] [7]
Kaolin RAT	远程访问木马	一种 RAT，作为其他载荷（包括 FudModule rootkit）的加载器。 [4]
RustBucket	恶意软件工具链	使用 Rust 编写的多阶段恶意软件框架，表明该组织工具集的现代化。 [2]
SigFlip	漏洞利用后工具	一种用于在不破坏数字签名的情况下向已签名可执行文件注入代码的工具。 [3]

关系与重叠

UNC4736/Citrine Sleet（被 MITRE 追踪为 AppleJeus (G1049)，并以 Labyrinth Chollima 和 Gleaming Pisces 等别名著称）在北朝鲜国家赞助的威胁行为者构成的复杂生态系统中运作。该组织被广泛认为是 Lazarus Group 旗下的一个子小组或活动集群，并与 TEMP.hermit 相关联。其工具集和基础设施显示出与其他北朝鲜行为者的重叠，最显著的是与 Diamond Sleet 共享 FudModule 根管理器（rootkit）。在至少一个案例中，Citrine Sleet 的目标此前也曾被另一个组织 Sapphire Sleet 针对，这表明不同的朝鲜民主主义人民共和国（DPRK）黑客单位之间存在重叠的目标优先级或协同作业。 ^{[4] [6] [7] [8]}