用“孪生用户识别卡”盗取数百亿…中国黑客组织32人被抓

by Oh Jieun

Published 21 May.2026 12:00(KST)

“复制USIM”组织两名主犯将被拘捕移送起诉
黑入个人信息转走账户余额
涉嫌违反特定经济犯罪法…受害金额达734亿韩元

一个以防弹少年团（BTS）成员 Jungkook 和大型企业会长等国内富豪为目标，黑入其金融资产账户并转移约700亿韩元资产的中国系黑客组织，已被警方抓获。

首尔警察厅网络调查队21日表示，已以违反特定经济犯罪加重处罚法等18项罪名，拘捕中国国籍黑客组织总负责人A某（40岁）和B某（36岁）。以违反通信秘密保护法等罪名被起诉的8名组织成员已被拘捕并移送起诉，以伪造公文书罪等罪名被立案的22人则在不拘留状态下移送起诉。此外，警方还对另外9名海外组织成员发出国际刑警组织红色通缉令。

21日上午，首尔地方警察厅网络搜查第2大队队长 Oh Gyusik 在首尔钟路区首尔厅市警大楼举行的新闻发布会上发言。记者 Oh Jieun 供图

据警方介绍，A某等人被指通过复制手机用户识别卡（USIM）和非法开通用户识别卡的手法，侵入受害人的金融资产和加密资产账户，非法转移资金。去年8月，B某因涉嫌与用户识别卡非法开通相关犯罪被移交审判，此后通过追加调查，警方查明他们还实施了利用复制用户识别卡手法的犯罪。在这一过程中，警方进一步确认，A某并非单纯共犯，而是该组织的总负责人。他们采用以受害人名义制作“孪生用户识别卡”的方式，截取短信验证码和金融“一次性密码（OTP）”等新型手法。总受害金额高达734亿韩元。

A某等人自2022年5月至2023年6月，将移动通信公司13名用户的用户识别卡唯一信息复制到空白用户识别卡芯片上，制作所谓的“孪生用户识别卡”，随后以受害人名义尝试办理机型变更。当受害人手机从通信网络上断开的一瞬间，A某等人持有的终端就会被登记为正常终端，从而能够全面获取原本发送给受害人的短信验证码和金融一次性密码。通过这种方式，他们侵入4名受害人的加密资产交易所账户，非法转走约89亿韩元规模的加密资产。

去年8月，涉嫌侵吞防弹少年团（BTS）成员 Jungkook 等韩国富豪资产而被起诉的B某。联合通讯社供图

在警方和通信公司建立起异常机型变更拦截系统后，该组织立即改变了作案手法。A某等人自2023年7月至去年4月，黑入12家廉价手机运营商的非面对面开通系统漏洞，擅自以92名受害人名义开通了122个用户识别卡。他们还黑入10个公共及民间网站，窃取个人信息和金融信息，甚至办理了网络身份证（i-PIN）和联合认证书。之后，他们侵入金融机构和加密资产交易所账户，非法转走约395亿韩元资产，并企图额外转移约250亿韩元。

A某等人尤其有针对性地锁定了海外滞留者或正在服刑、难以及时应对认证手段被窃取的富豪。A某等人将组织分为总负责人、管理负责人、执行负责人和洗钱负责人等角色分工运作。总负责人统筹▲黑客攻击 ▲获取用户识别卡信息 ▲侵入账户 ▲伪造身份证件 ▲资金洗钱等环节，国内组织成员则负责▲复制用户识别卡 ▲开通手机 ▲接收认证短信 ▲洗白犯罪所得等具体工作。

A某等人商议复制手机用户识别卡等事宜的Telegram聊天群重构资料（左）及A某等人擅自开通的黑卡手机。首尔警察厅供图

警方在长达3年11个月的时间里，共投入55名调查人员，执行了531件搜查扣押及鉴定令，并进行了7次海外出差。警方在依次抓捕国内的管理负责人、执行负责人和洗钱负责人过程中，通过先进的网络追踪技术锁定了总负责人B某的身份，并获取其入境泰国的情报，随后与泰国当地警方及国际刑警组织开展联合调查。最终在去年5月于泰国曼谷的藏身处抓获总负责人B某，与其同在现场的中国人A某则因非法滞留嫌疑被当地当局收押。此后，警方通过对扣押物的数字取证以及对既有案件的大数据交叉分析，进一步查明A某同样是该组织的共同总负责人，并且还主导了早期“复制用户识别卡”相关犯罪。

在遭受资金被盗的受害者中，包括企业会长、代表、董事等10人，艺人及网络红人3人，加密资产投资者3人等。其中还包括3名百强企业相关人士。遭黑客攻击的受害者共271人，其中百强企业相关人士有22人。