朝鮮IT行動人員正在調整策略,招募自由職業者為其提供身份代理人,用於遠程工作。
這些行動人員會在Upwork、Freelancer和GitHub等平台聯繫求職者,然後將對話轉移到Telegram或Discord,在那裡指導他們安裝遠程訪問軟體並通過身份驗證。
以往案例中,朝鮮工作人員通過偽造身份證件獲得遠程工作機會。據電信公司網路威脅情報專家兼區塊鏈安全研究員Heiner García介紹,如今這些行動人員正通過與已認證用戶合作,由後者授權他人遠程操作自己的電腦,從而規避相關障礙。
真實身份持有者僅能獲得五分之一的報酬,其餘資金則通過加密貨幣甚至傳統銀行帳戶轉給行動人員。行動人員借助真實身份及本地網路連接,可以規避對高風險地區和VPN的監控。
朝鮮IT工人不斷演變的招募手法內幕
今年早些時候,García設立了一家虛擬加密公司,並與Cointelegraph一起採訪了一名疑似尋求遠程技術崗位的朝鮮行動人員。該應聘者自稱日本人,但在被要求用日語自我介紹時突然結束了通話。
García隨後通過私信繼續與該疑似行動人員交流,對方要求他購買一台電腦並提供遠程訪問權限。
這一請求與García後來遇到的模式相符。與可疑帳號相關的證據包括入職演示文稿、招聘腳本以及“反覆使用”的身份證明文件。
García告訴Cointelegraph:
他們安裝AnyDesk或Chrome Remote Desktop,並從受害者的機器上工作,因此平台看到的是國內IP。”
他補充道,交出電腦的人“是受害者”。“他們並不知情。他們以為自己加入了正常的分包安排。”
根據他審查過的聊天記錄,被招募者會問一些諸如“我們怎麼賺錢?”之類的基礎問題,自己並不從事任何技術工作。他們只負責帳號驗證、安裝遠程訪問軟體,並保持設備在線,而實際由行動人員用其身份申請工作、與客戶溝通並交付成果。
雖然大多數人看起來是不知情的受害者。但也有一些人明顯知道自己參與了什麼。
2024年8月,美國司法部逮捕了納什維爾市民Matthew Isaac Knoot,他運營著一個“双重帳戶運營”項目,讓朝鮮IT工人冒充美國員工,用盜取來的身份信息接單。
最近在亞利桑那州,Christina Marie Chapman因運營類似項目被判處8年以上監禁,該項目為朝鮮輸送了超過1700萬美元資金。
圍繞脆弱群體構建的招募模式
最受青睞的是美國、歐洲及部分亞洲地區的被招募對象,因為認證帳號可進入高價值企業崗位且地域限制較少。但García也發現,一些經濟不穩定地區(如烏克蘭和東南亞)個人的信息同樣被利用。
“他們專門針對低收入人群,也盯上了弱勢群體,”García表示,“我甚至看到他們試圖聯繫殘障人士。”
聯合國表示,據稱朝鮮IT工作及加密貨幣盜竊行為正為該國導彈及武器項目提供資金支持。
García指出,這種手法已不限於加密領域。在他調查的一起案例中,一名朝鮮工作人員用盜取來的美國身份冒充伊利諾伊州建築師,在Upwork競標建築相關項目,並向客戶交付設計成果。
儘管外界關注點集中於加密貨幣洗錢,但García研究發現傳統金融渠道同樣遭到濫用。這種代理模型同樣允許非法分子以合法姓名收取銀行付款。
“這不僅僅是加密貨幣,”García說。“他們做一切——建築、設計、客戶支持,只要他們能接觸到。”
為什麼平台仍難以識別真正的工作者
即便招聘團隊對朝鮮行動人員獲取遠程崗位風險越來越警覺,但通常只有出現異常行為引發警報後才會察覺。一旦帳號被封禁,這些分子就會更換新身份繼續作業。
據聊天記錄顯示,有一次某Upwork帳號因活動頻繁被暫停後,該行動人員指示被招募者讓家屬開設下一個帳號。
這種不斷更換身份的方法使責任追溯和歸屬認定變得極其困難。掛名開戶的人往往被騙,而實際操作者身處異國,無論對自由職業平台還是客戶來說都不可見。
這一模式最大的優勢就在於合規系統所見一切都是真實可信——真實身份、本地網路。從表面看,所有條件都符合要求,但鍵盤背後的那個人卻完全不同。
García表示,最明顯的危險信號就是有人請求你安裝遠程訪問工具或允許他人用你的認證帳號“工作”。正規招聘流程根本無需控制你的設備或個人信息。
