朝鲜IT行动人员正在调整策略,招募自由职业者为其提供身份代理人,用于远程工作。
这些行动人员会在Upwork、Freelancer和GitHub等平台联系求职者,然后将对话转移到Telegram或Discord,在那里指导他们安装远程访问软件并通过身份验证。
以往案例中,朝鲜工作人员通过伪造身份证件获得远程工作机会。据电信公司网络威胁情报专家兼区块链安全研究员Heiner García介绍,如今这些行动人员正通过与已认证用户合作,由后者授权他人远程操作自己的电脑,从而规避相关障碍。
真实身份持有者仅能获得五分之一的报酬,其余资金则通过加密货币甚至传统银行账户转给行动人员。行动人员借助真实身份及本地网络连接,可以规避对高风险地区和VPN的监控。
朝鲜IT工人不断演变的招募手法内幕
今年早些时候,García设立了一家虚拟加密公司,并与Cointelegraph一起采访了一名疑似寻求远程技术岗位的朝鲜行动人员。该应聘者自称日本人,但在被要求用日语自我介绍时突然结束了通话。
García随后通过私信继续与该疑似行动人员交流,对方要求他购买一台电脑并提供远程访问权限。
这一请求与García后来遇到的模式相符。与可疑账号相关的证据包括入职演示文稿、招聘脚本以及“反复使用”的身份证明文件。
García告诉Cointelegraph:
他们安装AnyDesk或Chrome Remote Desktop,并从受害者的机器上工作,因此平台看到的是国内IP。”
他补充道,交出电脑的人“是受害者”。“他们并不知情。他们以为自己加入了正常的分包安排。”
根据他审查过的聊天记录,被招募者会问一些诸如“我们怎么赚钱?”之类的基础问题,自己并不从事任何技术工作。他们只负责账号验证、安装远程访问软件,并保持设备在线,而实际由行动人员用其身份申请工作、与客户沟通并交付成果。
虽然大多数人看起来是不知情的受害者。但也有一些人明显知道自己参与了什么。
2024年8月,美国司法部逮捕了纳什维尔市民Matthew Isaac Knoot,他运营着一个“双重账户运营”项目,让朝鲜IT工人冒充美国员工,用盗取来的身份信息接单。
最近在亚利桑那州,Christina Marie Chapman因运营类似项目被判处8年以上监禁,该项目为朝鲜输送了超过1700万美元资金。
围绕脆弱群体构建的招募模式
最受青睐的是美国、欧洲及部分亚洲地区的被招募对象,因为认证账号可进入高价值企业岗位且地域限制较少。但García也发现,一些经济不稳定地区(如乌克兰和东南亚)个人的信息同样被利用。
“他们专门针对低收入人群,也盯上了弱势群体,”García表示,“我甚至看到他们试图联系残障人士。”
联合国表示,据称朝鲜IT工作及加密货币盗窃行为正为该国导弹及武器项目提供资金支持。
García指出,这种手法已不限于加密领域。在他调查的一起案例中,一名朝鲜工作人员用盗取来的美国身份冒充伊利诺伊州建筑师,在Upwork竞标建筑相关项目,并向客户交付设计成果。
尽管外界关注点集中于加密货币洗钱,但García研究发现传统金融渠道同样遭到滥用。这种代理模型同样允许非法分子以合法姓名收取银行付款。
“这不仅仅是加密货币,”García说。“他们做一切——建筑、设计、客户支持,只要他们能接触到。”
为什么平台仍难以识别真正的工作者
即便招聘团队对朝鲜行动人员获取远程岗位风险越来越警觉,但通常只有出现异常行为引发警报后才会察觉。一旦账号被封禁,这些分子就会更换新身份继续作业。
据聊天记录显示,有一次某Upwork账号因活动频繁被暂停后,该行动人员指示被招募者让家属开设下一个账号。
这种不断更换身份的方法使责任追溯和归属认定变得极其困难。挂名开户的人往往被骗,而实际操作者身处异国,无论对自由职业平台还是客户来说都不可见。
这一模式最大的优势就在于合规系统所见一切都是真实可信——真实身份、本地网络。从表面看,所有条件都符合要求,但键盘背后的那个人却完全不同。
García表示,最明显的危险信号就是有人请求你安装远程访问工具或允许他人用你的认证账号“工作”。正规招聘流程根本无需控制你的设备或个人信息。