朝鲜IT人员威胁：国家资助的欺诈如何渗透财富500强企业 (ZH)

几乎所有在美国的财富500强企业都无意中雇佣了朝鲜IT人员。这并非推测，而是情报官员和网络安全研究人员对历史上最大规模的国家资助候选人欺诈行动的评估。

据估计，10万名朝鲜IT人员在全球部署，每年为平壤的武器计划带来超过5亿美元的收入。他们使用被盗的美国身份，增强型AI照片，VPN基础设施和国内助手的网络，通过面试，通过背景调查，并在不知道实际雇佣了谁的公司领取薪水。

2025年，CrowdStrike报告朝鲜IT人员渗透尝试增加了220%，并调查了其客户群中的超过320起事件。联邦调查局发布了正式的建议。司法部起诉了14名朝鲜国民。而OFAC最近在2026年3月扩大了对朝鲜IT人员网络的制裁。

这并非未来的威胁，而是一种活跃的、规模化的、工业化的行动——传统的招聘流程根本无法阻止它。

欺诈运作方式

朝鲜IT人员的运作之所以复杂，正是因为它利用了现代远程招聘中内置的信任假设。以下是一个典型的渗透过程。

第一步：身份获取

朝鲜特工获取被盗的美国身份——社会安全号码、驾驶执照和个人详细信息，这些信息是从数据泄露中购买的或通过社会工程学获得的。在某些情况下，他们会招募或胁迫美国境内的助推者，提供他们自己的身份或访问身份文件的权限。

第二步：AI增强的角色

在被盗身份的基础上，特工创建令人信服的专业角色。照片使用AI工具生成或增强——通常从库存照片开始，并修改以匹配被盗身份的人口统计特征。LinkedIn个人资料、GitHub帐户和专业作品集被伪造以支持背景故事。

第三步：面试流程

另一名特工——通常位于中国、俄罗斯或东南亚——进行实际的视频面试。他们经过培训，技术精湛，并且进行过排练。在某些情况下，多个团队成员在一次面试中进行协作，一个人在摄像头前可见，而另一些人则实时提供答案。

第四步：笔记本电脑农场

一旦被雇用，公司会将笔记本电脑运送到美国的地址。但该地址属于一名助推者，他经营着联邦调查局所谓的“笔记本电脑农场”——一个容纳数十台公司发布设备的地点。该助推者安装远程访问软件，允许实际的朝鲜工人从海外连接，同时显示正在从美国IP地址工作。

第五步：收入提取

朝鲜工人执行工作——通常足够胜任以避免怀疑——他们的薪水通过一系列银行帐户、加密货币钱包和汇款服务汇回平壤。其中很大一部分资金直接支持朝鲜的弹道导弹和核武器计划。

KnowBe4：一家安全公司被欺骗的案例

如果您认为您的招聘流程是安全的，请考虑KnowBe4公司发生的事情——全球领先的安全意识培训公司之一。

在2024年7月，KnowBe4公司为他们的内部AI团队雇佣了一名远程软件工程师。该候选人通过了他们的标准招聘流程：简历筛选、多次视频面试、背景调查和参考验证。一切都检查完毕。

该候选人使用了被盗的美国身份，并结合了AI增强的库存照片，足以通过视频面试而没有引起怀疑。伪造的角色技术精湛且专业。

KnowBe4公司将公司笔记本电脑运给了新员工。收到后几分钟，操作员就开始加载恶意软件——凭证收集工具、远程访问特洛伊木马和数据泄露实用程序。该活动于美国东部标准时间晚上9:55被KnowBe4公司的内部安全运营中心标记，设备立即被控制。

没有数据丢失。没有系统受到除笔记本电脑之外的任何损害。但其影响是巨大的：一家其整个业务都是安全意识的公司通过自己的招聘流程受到了社会工程学攻击。

KnowBe4公司的首席执行官Stu Sjouwerman做出了一个不寻常的决定，公开披露了这一事件。“如果发生在我们的身上，”他写道，“几乎发生在任何人身上。”

他是对的。这已经发生了——数百次了。

笔记本电脑农场网络

在2025年2月，克里斯蒂娜·查普曼，一位居住在亚利桑那州的美国公民，承认犯有电信欺诈、加重身份盗窃和洗钱阴谋罪。她的罪行：经营着支持朝鲜IT人员的最活跃的笔记本电脑农场网络之一。

查普曼的行动规模化。她在自己的住所和其他地点托管公司发布的笔记本电脑，管理来自海外的朝鲜操作员的远程访问。该计划影响了超过300家美国公司，并为朝鲜政府产生了超过1700万美元的收入。

查普曼的角色是作为一名助推者——她接收硬件，维护VPN和远程桌面连接，并帮助转移资金。她是分布式网络中，使整个行动成为可能的美国境内助推者节点之一。

司法部一直在积极追查这些网络。2024年，联邦大陪审团起诉了14名朝鲜国民，指控他们通过欺诈性远程就业产生了8800万美元，这起案件是与外国政府有关的最大的欺诈起诉案之一。

但对于每个被瓦解的网络，情报界认为还有更多网络在运作。经济激励对于平壤来说太具吸引力了，无法放弃：美国科技行业IT人员的薪水为平壤提供比任何其他收入来源更高的回报，而平壤却因制裁而贫困。

传统招聘流程失败的原因

朝鲜IT人员的欺诈之所以成功，是因为它针对了标准远程招聘工作流程中的所有假设：

背景调查验证数据，而非身份。背景调查确认社会安全号码、姓名和出生日期对应于一个拥有良好记录的真实人物。它无法验证坐在摄像头前的就是那个人。当底层身份是从真正的美国公民那里被盗时，背景调查会返回干净的结果——因为身份本身是合法的。

视频面试验证存在，而非身份。招聘经理在Zoom通话中看到一张脸并听到一个声音。他们无法确认这张脸与政府颁发的身份文件相匹配，该图像不是AI生成的，或者摄像头中的人与下周开始登录公司系统的人是同一个人。

参考检查很容易伪造。朝鲜行动维持着由合谋者组成的网络，他们充当专业的参考人员。他们接听电话，确认就业日期，并赞扬候选人的工作。一些参考人员是已被入侵的真实人物；另一些则是完全虚构的角色。

基于IP位置的检查很容易被击败。VPN、住宅代理和笔记本电脑农场基础设施确保网络流量似乎源自美国的住宅地址。标准IT监控会看到国内IP地址，然后继续进行操作。

结果是一个招聘流程，在结构上无法检测到资源充足、国家资助的身份欺诈行动。每个单独的检查都可以被击败。而且，由于没有一个检查与其他检查交叉引用，整个链条会静默地失败。

监管响应

美国政府已经认识到威胁的规模，并正在多个机构中做出响应：

联邦调查局IC3建议（2025年7月）：联邦调查局的互联网犯罪投诉中心发布了正式建议，警告美国企业注意朝鲜IT人员的欺诈行为，提供妥协指标和招聘经理的危险信号。该建议特别强调了AI生成图像和深度伪造技术在面试过程中的使用。

OFAC制裁（2026年3月）：外国资产控制办公室扩大了其制裁范围，包括额外的朝鲜IT人员网络、空壳公司和助推者。无意中向受制裁个人支付薪水的公司面临潜在的制裁违反行为——这给已经存在的安全问题增加了一个重大的法律和财务风险。

司法部起诉：司法部一直在追捕朝鲜特工和他们的美国境内助推者。2024年的14人起诉书和查普曼2025年的有罪答辩表明，执法立场将协助视为与底层欺诈一样严重。

CrowdStrike情报：私营部门威胁情报至关重要。CrowdStrike对超过320起事件的调查提供了理解该行动基础设施所需的技术细节，他们对同比增长220%的报告迫使高管们讨论了先前被驳回的威胁。

监管信息明确：公司需要采取合理的步骤来验证远程工人的身份。“我们不知道”不再是充分的辩护。

如何保护您的组织

朝鲜IT人员的欺诈行为很复杂，但并非无懈可击。它利用了招聘步骤之间的差距，而这些步骤从未被设计成作为一个统一的身份验证系统协同工作。弥补这些差距需要以与客户KYC相同的严格程度来对待员工入职——因为风险是可比的。

文件验证

每个新员工都应要求出示经过验证的政府颁发的身份证明文件。朝鲜特工经常使用伪造、更改或完全伪造的文件。自动文档验证，可以检查14,000多种文件类型，涵盖220多个国家/地区，可以检测到任何人工审核员都无法检测到的字体、全息图、MRZ代码和安全功能中的不一致之处。

AML和监控清单筛选

如果克里斯蒂娜·查普曼或14名被起诉的朝鲜国民在OFAC特别指定国民名单、制裁数据库或执法监控名单中被筛查过，他们的雇佣将会被标记，在开始之前。筛选1,000多个全球监控名单——包括OFAC、联合国制裁、国际刑警和联邦调查局数据库——将招聘从基于信任的过程转变为经过合规性验证的过程。

生物特征活体检测

KnowBe4公司案例是由一张足以通过视频面试的AI增强的库存照片促成的。生物特征活体检测完全消除了这一点。通过要求进行实时自拍并进行被动活体检测——检测深度、纹理、微动作和其他生物信号——组织可以确认他们正在与一个活生的人互动，而不是照片、深度伪造或预先录制的视频。

人脸匹配（1:1验证）

即使身份文件被盗而不是伪造，人脸匹配技术也能确保出示文件的个人就是文件上的人。1:1生物识别比较将实时自拍与ID照片进行比较，可以捕捉到朝鲜计划的核心欺骗：接受面试的人与身份文件上的人不一致。以每次验证0.05美元的价格计算，它是对抗身份替换的最具成本效益的对策。

IP和连接分析

朝鲜特工依靠VPN、住宅代理和Tor网络来掩盖他们的真实位置。IP分析标记来自已知VPN提供商、代理服务、数据中心和匿名化网络的连接。以每次检查0.03美元的价格计算，它提供了一个轻巧但有效的信号，表明用户的声明位置与其实际网络基础设施不符。

持续监控

威胁不会在入职时结束。朝鲜特工可能会通过初步检查，然后改变行为——升级访问权限、泄露数据或安装恶意软件（如KnowBe4公司案例所示）。持续监控可确保身份状态、制裁清单或不利媒体的任何入职后更改都能被实时捕捉到，而不仅仅是在年度审查期间。

应该让首席信息安全官彻夜难眠的数学公式

朝鲜IT人员渗透的平均成本——包括事件响应、法律风险、潜在的制裁违规以及声誉损害——每起事件高达数十万美元。对于在数据泄露后发现漏洞的公司而言，成本将会翻倍。

一个全面的身份验证堆栈——文件验证、生物特征活体检测、人脸匹配、AML筛选和IP分析——每次验证的成本在0.30到0.50美元之间。对于每年雇佣1,000名远程员工的公司而言，总验证成本为300到500美元。

问题不再是您的组织是否能够承担在招聘中实施身份验证的成本。您是否能承受不起——当国家资助的威胁行为者正在积极瞄准您的空缺职位，而监管机构正在明确表示无知不是借口时。

身份验证不再仅仅是金融服务领域的合规性复选框。在国家资助的候选人欺诈时代，它已成为每个远程招聘组织的国家安全必须。

朝鲜IT人员的行动将继续扩大规模。对于平壤来说，它太有利可图了，对于执行起来来说，对于那些依赖基于信任的招聘的公司来说，它也太容易了。生存下来的公司将是那些停止信任并开始验证的公司。