朝鲜IT人员利用实时深度伪造技术通过远程工作渗透组织

网络安全渗透手段出现令人担忧的新发展——朝鲜IT工作者开始在远程工作面试中使用复杂的实时深度伪造（deepfake）技术，以此获取全球各地组织的职位。

这种先进技术使威胁行为者能够在视频面试中呈现逼真的合成身份，从而绕过传统身份验证流程，渗透企业以获取经济利益或进行潜在间谍活动。相比朝鲜黑客此前主要依赖静态虚假资料和窃取凭证获取远程职位的做法，这一手段代表着显著的技术升级。

朝鲜民主主义人民共和国（DPRK）一直对身份伪造技术表现出浓厚兴趣，此前就曾利用泄露的个人信息创建合成身份。最新方法通过在视频面试中实施实时面部替换，使单个操作者能够使用不同合成身份多次应聘同一职位。

Palo Alto Networks旗下Unit 42团队在分析《Pragmatic Engineer》简报分享的线索后确认了这一趋势。该简报记录了一个波兰AI公司遭遇两名深度伪造应聘者的案例研究。研究人员指出，这两个身份很可能由同一人操作，在第二次技术面试中因熟悉流程而表现更加自信。

Unit 42在调查AI图像处理服务Cutout.pro的数据泄露事件时发现更多证据，确认多个电子邮件地址很可能与朝鲜IT人员行动相关。调查还发现多例用于创建专业形象照的面部替换实验。

03

技术实现与漏洞分析

这种深度伪造技术通常采用生成对抗网络（GANs）创建逼真人脸图像，配合面部特征点追踪软件实时映射操作者的表情到合成面孔上，最终通过虚拟摄像头软件将伪造视频作为标准网络摄像头信号输入视频会议应用。

研究人员证实，即使没有图像处理经验的个人，使用普及的软硬件也能在70分钟内创建适合面试的合成身份。但该技术存在可被检测的缺陷：

1. 难以处理快速头部运动

2. 遮挡物处理能力不足（如手部遮脸时会出现明显伪影）

3. 光线突变时面部边缘渲染不一致

4. 音视频同步问题

04

防御建议

为应对这一新兴威胁，企业应在招聘流程中实施多层验证机制，包括要求应聘者执行特定动作来测试深度伪造软件的局限性，例如：

1. 侧转头部展示轮廓

2. 在面部附近做手势

3. 执行"耳触肩"测试动作

原文始发于微信公众号（FreeBuf）：朝鲜IT人员利用实时深度伪造技术通过远程工作渗透组织