2017年11月，FBI、DHS曾联合发布警告：警惕朝鲜黑客组织Lazarus （Lazarus Group），称其利用远程管理工具（RAT）入侵航空、电信和金融行业的公司。事实上，Lazarus 确实再次走上通过网络攻击窃取外汇的老路。

Lazarus重出江湖

面对严峻的经济制裁形势，朝鲜政权无疑需要大量资金以支持其核武器及导弹研发计划。据美国计算机安全软件厂商迈克菲发现的最新证据，朝鲜国家支持黑客组织 Lazarus 似乎再次开始为其政府窃取其迫切需要的国外货币。

迈克菲公司在2018年1月中旬发现一条可疑文件链接，其将自身伪装成发送至各国家金融机构及加密货币用户的员工招聘文件，该文档内嵌有一个恶意文件，用户一旦打开便激活此文件。迈克菲方面根据该文件特性认定：Lazarus 组织已经重新开始活动。

这个恶意文件中包含大量功能，曾被Lazarus 组织在2017年10月针对各金融机构与国防企业的攻击中反复使用。当毫无戒心的用户打开该文件时，所使用的计算机即受到感染且数据亦将遭到窃取。

美国政府于2017年5月认定 Lazarus 应为当时发生的全球性网络攻击负责，当时这波恶意软件（也是勒索软件）曾导致用户无法正常访问计算机上的文件。

国际社会正以高压制裁手段阻扼朝鲜政府实施的核武器与导弹研究计划，朝鲜方面几乎无法得到任何外国资金的援助。尽管朝鲜在韩国平昌冬奥会上展示出了较为友好的外交形象，但其幕后的网络攻击活动仍在加紧进行。

朝鲜“外汇储备”第180处

根据朝鲜知识分子团结组织朝鲜负责人Kim Heung-kwang的说法，Lazarus 属于军事情报机构朝鲜侦察总局第180处。Kim Heung-kwang曾担任朝鲜大学计算机科学教师，且目前与朝鲜方面仍有联系。

据信，第180处由金正恩成立于2013年。Kim Heung-kwang认为，该机构的作用在于获取外汇资源以支持朝政府的核武器与远程导弹研究。该机构据信拥有约500名成员。

韩国情报机构亦怀疑，该部门正是近期东京交易所运营商 Coincheck 加密货币 NEM 盗窃案的幕后黑手。

平壤方面规模最大的网络战机构 第121处 由当时的朝政府领导人金正日于1998年所建立。该部门拥有数千名成员，其主要任务包括针对目标国家的通信、电力与交通等基础设施发动网络攻击。