FBI 查獲 1510 萬穩定幣！北韓駭客滲透 136 家美企內幕曝光

美國司法部上週宣布，已提交申請要求沒收價值 1510 萬美元的 Tether USDT 穩定幣，這些穩定幣是從與 APT38 組織有關聯的北韓駭客手中繳獲的。同時，四名美國公民和一名烏克蘭國民認罪，承認幫助北韓 IT 人員滲透到 136 家美國國內公司，這些計畫為北韓政權創造了超過 220 萬美元的收入。

FBI 繳獲 1510 萬美元 USDT 穩定幣

（來源：美國司法部）

美國司法部於 11 月 14 日宣布，已提起兩項民事沒收訴訟，試圖扣押價值 1,510 萬美元的 Tether 穩定幣 USDT，該穩定幣於 2023 年被北韓駭客竊取。查獲的加密貨幣源自於進階持續性威脅 38（APT38），這是一個北韓軍方駭客組織，曾在 2023 年針對四個海外虛擬貨幣平台實施了竊盜活動。聯邦調查局於 2025 年 3 月查獲了這些資金，目前正在尋求法院批准沒收這些資產，以便歸還給受害者。

此次查獲的穩定幣來自四起事件，公告並未具體說明是哪四起，但線索表明可能包括：2023 年 11 月交易所 Poloniex 被駭客攻擊損失超過 1 億美元、2023 年 7 月加密貨幣公司 CoinsPaid 被駭客攻擊損失 3700 萬美元、同月支付處理商 Alphapo 損失約 6000 萬美元，以及一起未指明的「2023 年 11 月從巴拿馬的虛擬貨幣交易所竊取約 1.38 億美元」的案件。美國司法部尚未公開確認此次沒收訴訟涵蓋哪些事件。

穩定幣作為洗錢工具的案例再次凸顯了數位資產監管的緊迫性。USDT 等穩定幣因其與美元 1:1 掛鉤的特性，在跨境轉帳中極為便利，但也因此成為犯罪組織洗錢的首選工具。該機構在聲明中表示：「追蹤、查獲和沒收相關被盜虛擬貨幣的工作仍在繼續，因為 APT38 成員繼續透過各種虛擬貨幣橋、混合器、交易所和場外交易商洗錢。」

這次查獲行動顯示，儘管穩定幣在區塊鏈上的交易具有匿名性，但執法機構的追蹤能力正在提升。透過鏈上分析工具和與交易所的合作，FBI 能夠追蹤被盜穩定幣的流向並最終凍結這些資產。這對合法的穩定幣使用者是好消息，但也提醒人們注意穩定幣在反洗錢方面的監管壓力將持續增加。

美國公民變內鬼協助北韓滲透

週五，美國司法部也宣布，已獲得四名美國公民和一名烏克蘭國民的認罪，他們承認透過提供被盜身分和託管公司筆記型電腦，幫助北韓 IT 工作者以欺詐手段在美國公司獲得工作。四名美國公民——24 歲的奧德里克斯·法格納賽、30 歲的傑森·薩拉扎爾、34 歲的亞歷山大·保羅·特拉維斯和 38 歲的埃里克·恩特克雷澤·普林斯——承認犯有電信詐騙共謀罪。

他們向朝鮮工人提供自己的身份信息，並將公司配發的筆記本電腦放在自己家中，使這些工人看起來像是在美國工作。這種操作模式極為隱蔽，北韓 IT 人員實際在平壤或其他地點遠程工作,但透過美國公民的身份和網絡連接，在公司系統中顯示為美國本地員工。這種手法不僅繞過了僱傭外國人的法律限制，也讓公司的背景調查失效。

烏克蘭公民奧列克桑德·迪登科於 11 月 10 日認罪，承認犯有電信詐騙共謀罪和嚴重身份盜竊罪，罪名是竊取美國公民的身份信息並將其出售給朝鮮 IT 從業人員。迪登科幫助北韓人在 40 家美國公司獲得工作，並同意作為認罪協議的一部分，放棄超過 140 萬美元的財產。這個案例顯示北韓的 IT 滲透計畫已經形成產業鏈，從身份盜竊、遠程設備託管到薪資接收都有專人負責。

美國司法部表示，這些計畫影響了超過 136 家美國公司，為北韓政權創造了超過 220 萬美元的收入，並洩露了超過 18 名美國公民的身份。雖然 220 萬美元相對於整體經濟規模並不龐大，但這種滲透帶來的戰略風險遠超經濟損失。北韓 IT 人員可能接觸敏感技術、客戶數據甚至國防相關信息。

北韓 IT 滲透計畫核心手法

身份盜竊：竊取或購買美國公民身份信息

遠程託管：美國公民在家中託管公司配發的筆記本電腦

虛假定位：透過美國 IP 地址讓北韓工作者看起來在美國本地

薪資轉移：透過複雜的金融網絡將工資轉回北韓

北韓加密貨幣犯罪產業鏈揭秘

北韓日益依賴加密貨幣盜竊和遠端 IT 工作者計畫來獲取收入，此舉違反了國際制裁。美國聯邦調查局、財政部和國務院在 2022 年發布的諮詢報告中警告稱，北韓的 IT 工作者每年收入可達 30 萬美元，他們累計向北韓國防部運營的計畫輸送了數億美元。這種收入來源對於面臨嚴厲國際制裁的北韓政權至關重要。

根據 Elliptic 的分析，光是 2025 年，北韓駭客就竊取了超過 20 億美元的加密貨幣，使政權成為全球最猖獗的加密貨幣竊盜行動之一。這個數字遠超傳統的網路犯罪組織，顯示北韓已經將加密貨幣盜竊視為國家級戰略資源。APT38 等駭客組織獲得軍方支持，擁有高度專業的技術能力和持續的資金投入。

穩定幣在這些犯罪活動中扮演關鍵角色。相比於比特幣和以太坊的價格波動，穩定幣與美元掛鉤的特性使其更適合作為轉移和儲存被盜資金的工具。駭客通常會先將竊取的加密貨幣轉換為穩定幣，然後透過混合器和跨鏈橋進行洗錢。這種手法既能保持價值穩定，又能利用區塊鏈的匿名性躲避追蹤。

然而，穩定幣發行商正在加強與執法機構的合作。Tether 曾多次協助凍結與犯罪活動相關的 USDT，這次 FBI 能夠查獲 1510 萬美元 USDT 也顯示執法機構與穩定幣發行商之間的協作機制日益成熟。對於合法用戶而言，這是雙刃劍：一方面提升了穩定幣的安全性和合規性，另一方面也意味著穩定幣的交易並非完全不可追蹤。

北韓的加密貨幣犯罪產業鏈已經高度成熟，包括駭客攻擊、洗錢、身份盜竊和遠程 IT 滲透等多個環節。APT38 等組織專門負責攻擊加密貨幣交易所和 DeFi 協議，竊取資金後透過專業的洗錢網絡將穩定幣轉換為現金或其他難以追蹤的資產。遠程 IT 工作者則提供持續的收入來源，並可能為駭客行動提供內部情報。

穩定幣監管與企業防範措施

這起案件對穩定幣行業和僱主企業都提出了警示。對於穩定幣發行商而言，反洗錢和制裁合規的壓力將持續增加。美國財政部外國資產控制辦公室（OFAC）已經將多個與北韓有關的加密貨幣地址列入黑名單，穩定幣發行商需要實時監控這些地址並凍結相關資金。

對於企業而言，如何防範北韓 IT 人員的滲透成為新的安全挑戰。傳統的背景調查可能無法識別使用被盜身份的遠程工作者。企業需要加強身份驗證流程，包括視頻面試、多因素身份認證和持續的行為監控。對於處理敏感信息的職位，可能需要要求員工在辦公室工作或通過更嚴格的安全審查。

美國司法部的這次行動顯示，執法機構正在多個層面打擊北韓的加密貨幣犯罪活動。除了追蹤和查獲被盜穩定幣，還在瓦解支持這些活動的基礎設施，包括身份盜竊網絡和遠程託管服務。五名認罪者面臨的刑期將向其他潛在協助者發出強烈警告。