近年来,网络安全成为全球关注的焦点,国家级黑客行为频频曝光,尤其是与朝鲜相关的网络犯罪活动屡见不鲜。美国财政部外国资产控制办公室最近宣布对朝鲜黑客组织安达里尔成员宋金赫实施制裁,再次将朝鲜通过IT工作欺诈谋取非法收入的手段推向公众视野。宋金赫利用被雇佣的海外IT工作者,伪装成美国公民,通过伪造身份资料掩盖真实身份,实施远程工作欺诈行为。此举揭示了朝鲜黑客集团复杂的资金链与操作方式,也表现出该国如何巧妙地规避国际制裁。 宋金赫是一名38岁的朝鲜公民,现居中国吉林省。他通过招募外国IT工作者,以远程方式为美国企业提供服务,骗取薪资收入并将资金分成返还给朝鲜当局。
期间,他采用了使用美国公民姓名、地址和社会安全号码的伪造身份,以掩盖其真实的朝鲜背景。这种手法不仅欺骗了用人单位,也体现出网络犯罪产业链的专业化和隐蔽性。 事实表明,宋金赫的活动从2022年持续至2023年,显示了这些犯罪模式的持续性和规模性。美国司法部也已同步采取行动,逮捕相关人员并冻结了29个金融账户,关闭21个欺诈网站,没收近200台电脑设备。此次制裁事件也牵扯出一名俄罗斯公民Gayk Asatryan及其旗下两家公司,他们通过与朝鲜公司合作,将朝鲜IT人力派遣至俄罗斯进行相关工作,成为远程IT工作欺诈的另一环节。 安达里尔是著名朝鲜黑客集团“Lazarus Group”的一个子团体,长期与朝鲜情报机关密切合作。
安达里尔被认为不仅参与传统黑客攻击,还利用IT工作者进行资金筹集,其行为覆盖网络攻击、身份盗窃及洗钱等多个层面。这是朝鲜进行秘密经济活动、支持其核武和导弹项目的重要收入来源。 安全专家认为,朝鲜黑客集团将远程IT工作者纳入国家级行动,表明其作战模式正在升级,不仅为了财务利益,还承担情报收集和网络间谍等使命。这一混合式的操作模式大大增加了侦测和防范的难度。 分析指出,纽约DTEX公司安全调查员迈克尔·巴尼·巴恩哈特强调,宋金赫与此前起诉的其他朝鲜黑客案件有关联,体现出朝鲜网络犯罪从单纯黑客攻击向更广泛的经济犯罪领域渗透。他指出,这种交叉角色的出现反映了朝鲜黑客集团内部人员流动和多重任务执行的趋势,也暗示了整个国家网络战和财务犯罪战略的高度协同。
此外,朝鲜黑客组织还通过复杂的虚拟货币交易将非法所得转移至全球各地,进一步规避国际金融监管。根据区块链安全公司TRM Labs的数据显示,2025年上半年,朝鲜在全球加密货币攻击中窃取的金额达到了16亿美元,远超其他国家。这种数字资产犯罪已成为朝鲜绕过经济制裁的重要手段。 美国财政部副部长迈克尔·福肯德强调了持续警惕朝鲜利用网络渠道秘密资助其大规模杀伤性武器和弹道导弹项目的重要性,国家将利用一切可用工具,阻断朝鲜通过网络窃取资产、伪装美国身份以及展开恶意网络攻击的企图。 远程IT工作人员欺诈计划也被称为“Nickel Tapestry”、“Wagemole”和“UNC5267”,描述了朝鲜黑客利用窃取和虚假身份混合策略,成功获得美国企业远程职位,从而稳步抽取薪资收入。这种隐秘网络经济模式不仅为朝鲜提供了稳定资金流,也暴露了现代跨国网络诈骗的复杂性和挑战性。
值得注意的是,这次制裁事件也激发了国际社会多边合作的呼声,因为朝鲜远程IT工作人员往往身体居住于中国,却受雇于新加坡伪装的公司,并服务于欧美企业客户。这样的操作跨越多个司法管辖区,要求各国分享信息、联合行动才能有效遏制。 随着全球对朝鲜网络犯罪意识的提升,越来越多国家加入反制行列,通过逮捕、制裁、关闭服务器等协同手段逐步打击相关组织。这种国际合作模式,为未来应对复杂网络威胁树立了范例。 除了IT工作人员欺诈,朝鲜相关黑客团体如Kimsuky(APT-C-55)也不断升级攻击手段,使用名为“HappyDoor”的后门恶意软件,目标多为南韩机构。该恶意软件自2021年以来不断更新,能够执行远程命令、窃取敏感信息和上传文件,常伪装成教授或学术机构通过鱼叉式钓鱼邮件传播,进一步说明朝鲜网络攻击的技术演进和持续威胁。
整体来看,朝鲜通过融合网络窃取、身份假冒、雇佣海外IT人才等多元化网络犯罪手段,构建了一个跨国且高度隐蔽的资金流体系。面对不断升级的威胁,全球网络安全防护需强化技术检测、提升国际情报交换以及加强法律追责。 未来,随着数字经济和远程工作模式的普及,类似朝鲜的黑客利用虚拟身份和全球人才网络实施诈骗的案件可能更为频繁。企业和政府需加强员工身份验证、网络监控及安全意识,防止成为黑客阴谋的受害者。 在全球数字化大潮中,只有通过持续的协作、先进的技术手段和严厉的法律执行,才能有效遏制像朝鲜安达里尔黑客集团这样利用IT工作者身份实施的网络诈骗行为,保障国家安全和网络生态的健康发展。
