近年来,朝鲜通过一套精心设计的远程IT劳工计划,成功渗透到全球多个企业信息系统中,非法获取资金和敏感数据,成为其绕过国际制裁的重要经济来源。2025年6月,美国司法部宣布采取多项行动,首次逮捕一名关键美国本土协助者,查封与该计划相关的29个域名,并突袭全国范围内的21个“笔记本农场”,即被用于远程控制的设备集群。这次行动涉及14个州,冻结了多条资金链,挫败了朝鲜信息技术劳工通过伪装身份与虚假公司网络,从事虚假远程就业生成巨额非法收入的阴谋。朝鲜IT劳工通常利用盗窃或伪造的身份信息,成功获得超过100家美国企业的远程职位。他们不仅获得企业的正常薪酬,还能在公司内部窃取关键技术资料,包括受出口管制的军事技术和价值连城的虚拟货币。这些劳工在深入系统后,往往利用内部权限发起数据盗窃、资金挪用,甚至勒索企业以阻止泄密,形成深度危害企业安全的内线威胁。
例如,在亚特兰大一家区块链研发公司中,多名朝鲜IT员利用职务之便盗取超过90万美元数字资产,手段高明且隐蔽。美国司法部国家安全司助理检察长约翰·艾森伯格强调,朝鲜通过这些计划非法窃取美国企业资源,资助其包括核与导弹项目在内的非法军事活动,严重威胁国家安全。美国联邦调查局反情报部门助理主任罗曼·罗扎夫斯基指出,该计划依赖于伪造身份和虚假雇佣关系,利用全球协助者操纵资金流,从而将数亿美元资金输往朝鲜寡头体系,打击效果显著。此次行动的核心人物之一为美国新泽西籍人士王振兴(Zhenxing “Danny” Wang),他被控协助朝鲜劳工团队实施多年诈骗,参与策划虚假公司、代发工资,搭建幕后运营体系,骗取数百万美元收入。行动还牵涉多名中港台籍人员,包括黄靖斌、周宝玉、佟雨泽、徐勇哲、袁子游、周震邦、刘孟婷及刘恩等,他们协同作案,持续操控账户,伪造申请材料,多角度掩盖身份,令调查面临巨大挑战。犯罪嫌疑人通过设立壳公司和虚假网站如Hopana Tech LLC, Tony WKJ LLC及Independent Lab LLC,制造合法企业假象,增强雇佣真实性。
此外,利用硬件设备如键盘视频鼠标切换器(KVM),帮助远程朝鲜IT员隐匿真实位置,实现远程办公。除美国国内协助外,这些IT员还曾前往中国与中介人员面谈,确认入职策略,形成跨国犯罪合力。司法部还披露了佐治亚北区对四名朝鲜籍被告的起诉细节:他们曾在阿联酋以朝鲜护照活动,并分别受雇于区块链公司和塞尔维亚虚拟货币公司,在具备内部权限后,盗窃数十万美元数字资产,篡改智能合约代码,利用加密货币混币服务Tornado Cash洗钱,进一步隐瞒非法资金轨迹。此类犯罪不仅危害企业财务安全,还对全球数字货币监管提出严峻挑战。网络安全专家及企业纷纷关注此类朝鲜劳工带来的新型网络威胁。科技巨头微软长期追踪该威胁团伙,并采取关闭3000多个相关邮箱账户的硬措施。
这些账户均用于虚假身份申请职位,利用人工智能技术修饰照片、变声软件提升社交伪装真实性,配置虚假LinkedIn简历,欺骗招聘方审查多达数年。微软指出,朝鲜及其合作者通过结合虚拟专用网络、远程监控管理工具和境内外同谋合力隐蔽行踪,令识别和防范难度倍增。值得注意的是,朝鲜犯罪集团贴出“远程职位合作伙伴”招募广告,吸引美国内外人员成为中间人,帮忙制造合法入职条件,包括购买手机号、开设银行账户及验证背景,形成一个系统化、产业链化的网络犯罪结构。美国司法部呼吁企业和政府部门提升人才招聘的安全防范意识,不仅应关注应聘者背景核查,还需对识别远程工作身份的真实性加倍警惕。针对复杂手法,微软研发基于机器学习的检测方案,结合具体威胁情报,增强自动识别嫌疑账户能力,为防范未来威胁铺路。网络安全业界专家认为,朝鲜远程IT劳工网络不仅仅是单纯的非法收入工具,更是突破商业与政府组织安全防线的隐秘力量。
它们利用目标内部权限,实施间谍活动、数据窃取和网络攻击,后果严重。多方共同打击和信息共享成为防范的关键。除了执法机关的严厉打击,企业必须重新审视远程员工的审查标准,以及内部安全防护策略。加强员工行为监控,实施多因素身份验证和零信任架构建设,将有效遏制身份伪造与内部威胁。随着远程办公模式持续普及,朝鲜这类复杂的网络犯罪手法持续进化,必须惜时并慎行,强化全方位安全体系建设。展望未来,国际社会对朝鲜网络活动的关注与合作将不断加强,以遏制其通过网络手段规避制裁、实现恐怖主义核武发展目标的企图。
美国司法部和国际法执法机构的合作也会不断升级,联手追踪虚拟资产流动,攻破跨境犯罪链条。同时,企业界也需借力先进的人工智能与大数据技术,提升威胁检测与响应效率,筑牢技术防火墙。只有多方共治,才能有效遏止朝鲜网络劳工泛滥带来的安全危机,保障全球商业环境的公平、安全和透明。
