据联合国专家团队和执法机构的研判,朝鲜正在运行一项精密的远程工作者计划,该计划每年能为朝鲜政权创造近六亿美元的收入。
内鬼威胁的演变
近几年来,全球网络安全格局发生了根本性转变,来自内部的威胁定义也在持续演变。过去几十年中,企业安全的重心始终集中在防范心怀不满的员工或疏忽大意的承包商泄露敏感数据上。然而时至今日,最具危害性的内部威胁,往往是那些通过虚假身份受雇的人员,他们专门从事转移公司资金、窃取知识产权以及为国家级黑客建立后门等恶意活动。这一转变正反映了网络攻击手段的变化,尤其体现在由朝鲜民主主义人民共和国(DPRK)所策划的行动中。

年创收6亿美元的远程渗透计划
根据联合国专家与相关机构的评估,朝鲜运营着一套精密的远程工作者计划,该计划每年为其政权带来近六亿美元的收入。这些人员运用先进的身份盗用技术,成功获取了西方企业的高薪远程职位。Silent Push的安全研究发现,朝鲜方面通常采用两种截然不同的渗透手法:第一种是安排长期潜伏者获取合法的IT职位,这些人员可能在岗位上正常工作数月,在此期间建立持久访问权限并创造收益;第二种则是伪装成正规软件公司的空壳企业,诱骗技术人员参与面试,并借机在设备上植入恶意代码,从而攻破其安全防护。
身份验证陷阱与AI深度伪造技术
企业常规招聘流程中的身份验证环节存在重大漏洞。传统安全系统仅凭证书验证身份。当应聘者提供有效的社保号码、通过第三方背景调查,并利用AI驱动的深度伪造技术顺利通过视频面试后,就能轻易获得系统的访问权限。

这些人员入职后,会使用伪造的西方住宅IP地址来模拟本地员工的网络足迹,假装成来自郊区的合法远程工作者。安全团队通常依赖IP地理定位和地理围栏来检测可疑活动,但朝鲜人员通过多层代理链绕过这些控制,将网络流量最终路由至位于美国的真实物理设备。
三重检测盲区
此类复杂手段造成了三个关键的检测盲区:一是数据中心的流量看似来自合法的住宅IP假象;二是针对被盗身份而非真人的背景调查漏洞;三是在实体笔记本电脑检测中,可通过MAC地址检查和设备安全评估来验证硬件真实性(而虚拟系统无法通过),这一环节也存在隐患。

雇佣朝鲜渗透者的后果远超直接的安全威胁。企业可能因此面临OFAC制裁违规、不可逆转的知识产权损失,以及需要全面基础设施审计的高成本应急响应。防范此类威胁需要企业超越传统的背景调查,核实远程员工的实际物理位置,并通过高级网络流量分析,在威胁接触敏感系统前识别出可疑的连接模式。
