身份与访问管理无法单独识别冒牌IT人员。如本例所示,发现朝鲜内鬼需整合多重信号。
朝鲜IT冒牌员工计划已成为跨行业重大威胁。尽管最佳实践强调招聘阶段的防范措施,但一旦这类人员入职,往往难以察觉。近期案例证明,行为分析、威胁情报等多维度信息融合正成为关键防御手段。
LevelBlue SpiderLabs报告显示,某疑似朝鲜关联人员通过安全审查后被雇佣处理Salesforce数据,10天后才被识别并解雇。最终通过地理位置异常、非托管设备访问及威胁情报关联锁定威胁。

事件时间线
2025年8月,Cybereason XDR行为分析系统标记可疑登录模式,LevelBlue SpiderLabs威胁情报证实企业无意中雇佣了恶意人员。当管理员激活新员工EntraID账户时,团队发现其使用德克萨斯州达拉斯IP登录(偏离其常用中国区域),且登录设备未受管控,IP归属朝鲜IT人员常用Astrill VPN。
LevelBlue SpiderLabs威胁检测工程师Tue Luu表示:"这种威胁很少通过单一指标判定,而是多重可疑迹象与统计异常的综合结果。"朝鲜IT冒牌人员可能窃取敏感数据、源代码、商业机密及知识产权,使企业面临勒索或凭证窃取风险。据估算,朝鲜远程工作者计划已渗透全球数百家企业,年均创收2.5亿至5亿美元。
攻击实施细节
周五:攻击者通过远程员工招聘,分配处理Salesforce数据并通过标准验证周五至周三:Cybereason XDR建立行为基线,显示其持续从中国登录周四:检测到登录异常触发高危警报周五:威胁情报匹配朝鲜攻击者使用的Astrill VPN基础设施周一:撤销账户并启动深入调查调查团队审查员工互动记录、群聊记录等材料,未发现残留访问、后门或恶意工具痕迹,这归功于快速检测机制。
朝鲜关联内鬼的典型特征
SpiderLabs发现这类攻击者常从中国而非朝鲜操作,利用VPN服务掩盖真实地理位置。Astrill VPN能突破中国防火墙,通过美国出口节点伪装成合法国内员工。已知Astrill VPN IP范围的认证事件即构成高置信度入侵指标。
Luu指出:"本案中该VPN并非客户环境常用解决方案,这种非常规使用构成真正异常。XDR方案能区分个人与商业VPN,仅对个人VPN使用告警。"
IAM并非万能方案
身份与访问管理无法单独识别冒牌IT人员。如本例所示,发现朝鲜内鬼需整合多重信号。Luu建议:"可采取权限渐进策略,对高风险雇佣逐步提升权限。同时关注特定地区非工作时间登录或操作行为。"
CISO应确保入职流程健全并定期审查,Luu建议:"明确环境中的'正常'软件并制定标准,优先使用公司管控的Windows设备。IT管理员应启用EntraID条件访问策略限制登录区域。本案客户事发前未激活该策略,事后根据Cybereason建议进行了配置。"
