美杜莎勒索软件攻击活动

与朝鲜有关联的黑客组织 Lazarus Group（也被称为 Diamond Sleet 和 Pompilus）被发现使用 Medusa 勒索软件攻击了中东一家未具名的组织。安全研究人员还发现，同一组织曾试图入侵美国一家医疗机构，但未成功。

Medusa 采用勒索软件即服务 (RaaS) 模式运营，由一个名为 Spearwing 的网络犯罪组织于 2023 年发起。自成立以来，该组织已声称对超过 366 起攻击事件负责。对 Medusa 泄露门户网站的审查显示，自 2025 年 11 月起，四家位于美国的医疗保健和非营利机构被列为受害者，其中包括一家心理健康非营利组织和一家服务于自闭症儿童的教育机构。目前尚不清楚所有事件是否都直接归咎于朝鲜特工，或者 Medusa 的其他关联组织是否也参与了部分入侵。在此期间，平均赎金约为 26 万美元。

朝鲜境内勒索软件演变模式

朝鲜网络部队使用勒索软件早已是公开的秘密。早在2021年，一个名为Andariel（又名Stonefly）的Lazarus子集群就利用SHATTEREDGLASS、Maui和H0lyGh0st等专有勒索软件家族，对韩国、日本和美国发动了攻击。

2024 年 10 月，该组织与 Play 勒索软件的部署有关，这标志着其战略转向使用市售勒索软件，而不是仅仅依赖定制的有效载荷。

这种转变并非Andariel独有。另一家朝鲜威胁组织Moonstone Sleet，此前曾与定制版FakePenny勒索软件有关联，据报道也曾使用麒麟勒索软件攻击韩国金融机构。总而言之，这些事态发展表明，朝鲜勒索软件运营者正在进行更广泛的策略调整，他们越来越多地以合作伙伴的身份融入现有的勒索软件即服务（RaaS）生态系统，而不是维护完全自主的勒索软件工具链。

支持美杜莎行动的作战工具包

与美杜莎相关的攻击活动归因于 Lazarus，其手段融合了自主开发的恶意软件和公开可用的攻击工具。已发现的工具包括：

• RP_Proxy，一款专有代理实用程序。
• Mimikatz 是一款广泛用于后渗透活动的凭证转储工具。
• Comebacker，Lazarus 独有的后门。
• InfoHook 是一款信息窃取程序，之前与 Comebacker 部署有关。

虽然勒索手段与早期的安达利尔行动相似，但目前活动尚未被确凿地归因于拉撒路组织的特定分支。

战略意义：务实主义优于专有开发

采用 Medusa 和 Qilin 等勒索软件变种体现了运营上的务实态度。开发和维护定制的勒索软件家族需要大量的资源、测试和基础设施。利用成熟的勒索软件即服务 (RaaS) 平台可以立即获得成熟的加密功能、运营支持和行之有效的盈利机制。与开发和维护成本相比，联盟会员费结构可以被视为一种合理的权衡。

持续且不受限制的瞄准

转向使用现成的勒索软件进一步凸显了朝鲜持续从事以经济利益为目的的网络犯罪活动。攻击目标的选择模式表明其几乎没有任何限制，包括美国医疗机构在内的许多组织都成为了攻击目标。虽然一些犯罪集团公开声称会避免攻击医疗机构以减轻声誉损失，但在与拉扎勒斯组织有关的行动中，似乎并没有类似的限制。