近期,美国司法部展开了一项引人注目的执法行动,成功冻结了与朝鲜全球虚假IT工作者网络相关的超过774万美元加密货币及数字资产。这是对朝鲜利用虚假身份和技术手段,渗透全球远程IT承包市场,以规避国际制裁、为其军事项目融资的打击行动。朝鲜的这一非法操作不仅反映了其灵活高超的网络犯罪手法,同时对全球网络安全和金融监管提出了严峻挑战。 该行动源自2023年4月针对朝鲜外国贸易银行代表Sim Hyon-Sop的起诉。Sim被指与一批虚假的IT工作者共谋,通过假身份成功受雇于美国加密公司,洗钱所得款项后转回朝鲜,以规避美国财政部的严厉制裁。司法部国家安全部负责人Sue J. Bai指出,朝鲜长期以来利用全球远程IT工作及加密生态系统,实现资金流转,支持其违禁武器项目。
朝鲜的这套IT工作人员网络最早自2017年起运作,核心为利用被盗和虚假身份,由人工智能工具如OpenAI的ChatGPT辅助,巧妙通过身份核查,获得自由职业合同。该网络被追踪为“Wagemole”和“UNC5267”等代号,与朝鲜劳动党紧密相关,构筑了一套系统化、多层次的运营模式,将IT人才嵌入合法公司内部,为朝鲜赚取稳定收入。 这项非法运作不仅依赖伪造身份,还招募所谓“笔记本农场”筹划者,通过大量远程电脑,利用结构化虚假面试环节完成选拔,随即洗钱通过多个账户流转回朝鲜。此类“笔记本农场”负责人之一Christina Marie Chapman今年初认罪,揭开了该网络如何通过社交互动、虚假招聘,将普通职场人士拉入骗局。 司法部披露,这些洗钱资金多数通过Sim及其中间人Kim Sang Man脚本,后者为名为“Chinyong”或“Jinyong IT Cooperation Company”公司的首席执行官。通过TRM Labs对Sim加密钱包的分析,揭示其从2021年8月至2023年3月间共接收加密货币超过2400万美元。
金从俄罗斯符合法身份的账户操作,且多以阿联酋及俄罗斯设备访问账户,体现其跨国复杂布局。 金在俄罗斯海滨城市符拉迪沃斯托克活动,作为连接IT工作者与朝鲜外贸银行的中介,操控两个账户收取资金并分发回Sim及其他与朝鲜相关的钱包。网络安全公司DTEX指出,朝鲜这一网络行为可视为国家支持的犯罪集团,核心目标是规避制裁和获利,且逐渐由传统笔记本农场走向员工自带设备(BYOD)策略,进一步提高隐蔽性和操作灵活性。 DTEX的安全分析师Michael Barnhart指出,朝鲜网络用人与其所采用的工具一样,极具机会主义色彩,会充分利用一切可用手段。即使笔记本农场受到遏制,BYOD滥用依旧是其重要的渗透方式。DTEX将这些IT工作者分为两类:获利型(R-ITW)和恶意型(M-ITW)。
前者主攻为朝鲜体制筹资,后者则进行勒索、数据盗窃及恶意破坏。 在此网络架构中,“Chinyong”是朝鲜在中国、老挝及俄罗斯的关键节点之一,借由其员工侵入区块链项目,实施加密偷窃和自由职业诈骗。曾以假名Naoki Murano和Jenson Collins开展筹资活动的员工之一,就卷入了2024年价值600万美元的DeltaPrime加密平台盗窃事件。 网络安全研究人员Matt Ryan指出,要侦测此类精心伪装的犯罪活动,不应仅关注传统的恶意软件或钓鱼攻击,而是须从基础设施、行为模式和访问权限等角度重新审视,疏理出隐秘隐藏的运作链条,使执法和防御更具针对性。 被查明的相关账户还涉及利用虚假域名及前线公司进行洗钱和招聘面试,部分账户感染了信息窃取木马。安全机构Flashpoint曾确认位于巴基斯坦拉合尔的一台受感染主机储存了注册多个假冒公司的邮件账户凭据,揭示背后的操作细节。
木马还揭示了多条Google翻译URL,反映使用英语和韩语间的频繁沟通,包括伪造求职推荐和设备运输信息,进一步佐证其精密的社会工程手法。此外,Sygnia 2025年4月报告指出,朝鲜IT工作者还通过多层隐秘远控系统维持对笔记本农场设备的访问,利用低级协议信号结合合法工具Zoom远程控制,隐秘不留痕迹。 该远控系统自动设置Zoom客户端,始终静音进入会议,没有可见界面和提示,确保受控设备无干扰,且保持持续登录状态。分析推测系统配合低成本的Raspberry Pi设备实现局域网内的大规模远程控制,模拟真实用户操作,大幅提升隐蔽性和自动化水平。 与“Wagemole”系列并行的还有名为“Contagious Interview”及其别名的行动,主要通过攻击已有岗位的开发者账号,实现快速渗透与非法访问。DTEX专家指出,这类IT工作者更倾向于恶意软件应用及权能滥用,不愿经过正规招聘流程,而是优先劫持真正工作者的身份。
展望未来,随着区块链及Web3科技逐渐渗透传统金融体系,朝鲜网络犯罪资源也有望对这些行业发起更大规模攻击。Barnhart强调,集成新技术需伴随严密防护,否则朝鲜极具侵入能量和经验的黑客势力将大大增加系统风险。 总体而言,美国此次针对朝鲜IT工作者网络及加密资产的缉拿行动,彰显了应对跨国网络犯罪的复杂性及紧迫性,也揭示了一个国家级网络威胁的生态全貌。加密货币虽然带来了便利却也成为规避制裁和洗钱的温床。面对朝鲜不断进化的技术与手法,全球安全部门亟需整合资源,提升侦查能力,强化身份核验机制,遏制非法远程用工和数字资产违法转移,维护网络空间的公平与安全。
