最新报告:朝鲜网络犯罪集团及其隐藏IT劳动力分析

网络安全公司DTEX最新报告揭露，朝鲜通过系统性培养IT人员渗透全球企业及区块链项目，构建跨国犯罪网络以资助其军事计划。报告指出，朝鲜特工从小接受技术训练，利用伪造身份（如“村野直树”“詹森·柯林斯”）伪装成自由开发者，潜入《财富》500强企业和Web3项目。以Chinyong等幌子公司为据点，其人员通过窃取加密货币（2017年以来涉案数千万美元）及渗透金融系统为政权输血，已遭美国制裁。朝鲜网络攻击手段持续升级，涉及供应链入侵、AI技术融合及跨国协作（如欧洲“协助者”提供支持）。Mandiant创始人凯文·曼迪亚警告，朝鲜IT员工隐蔽性强、分布广，对全球供应链构成现实威胁，需政企协同应对。研究还显示，朝鲜特工打破传统角色限制，频繁转换任务并复用旧身份，其行动受生存需求驱动，非单纯意识形态。报告作者巴恩哈特基于开源情报、叛逃者证词及区块链追踪，强调朝鲜特工具有高度适应性，且会反制调查。研究呼吁加强招聘审查（如地理验证、AI面试监测）及国际情报共享，遏制这一“隐蔽且实时演进”的国安危机。

报告摘要

朝鲜的网络威胁已超越传统国家支持的黑客活动范畴，演变为一个集金融犯罪、军事扩张与生存经济于一体的混合型犯罪帝国。报告揭示其行动呈现三大核心特征：

生存驱动的犯罪生态；网络人员的参与动机并非意识形态，而是严酷的生存压力。平壤政权通过设定收入指标（如2025年对驻华人员翻倍外汇配额），将网络团队推向“自筹资金”模式。例如，某IT工作者月收入5000美元中仅能保留200美元，其余上缴用于核武器研发。这种“黑帮式”分赃体系迫使团队不断开发新型犯罪手段，从ATM诈骗到勒索软件攻击无所不用其极。

虚实结合的多维攻击；朝鲜网络行动已形成“数字渗透+物理破坏”的双轨制。2025年成立的AI网络战单位“研究中心227”标志着技术升级：该机构不仅开发自动化钓鱼工具，更将AI技术应用于自杀式无人机等物理攻击武器。与此同时，APT45等传统攻击组持续针对医疗系统发起勒索攻击，形成“网络勒索养战争机器”的恶性循环。

全球劳动力渗透战略；通过系统化身份伪造（如使用“村野直树”“詹森·柯林斯”等虚假身份）和地理伪装（利用中国丹东等地的“笔记本电脑农场”伪造IP地址），数千名朝鲜IT工作者已渗入《财富》500强企业与区块链项目。报告指出，这些人员与APT攻击组共享教育背景（如平壤金日成军事大学）和基础设施，形成“合法岗位掩护非法行动”的协同网络。

人才培养

朝鲜网络行动的成功，源于其独特的“国家黑手党”式组织结构与人才培养机制：

1. 金字塔型指挥体系

顶层决策：劳动党中央委员会直接控制侦察总局（RGB）与军需工业部（MID），前者主导网络间谍活动，后者协调武器研发与网络技术融合。

中坚力量：APT37、APT43等攻击组承担具体任务，如2023年针对脱北者李敏镐的跨组联合监控（APT37、APT43、Konni同时行动）。

基层执行：IT工人团队通过Chinyong等幌子公司，在区块链项目中植入后门。例如，2025年“Gwisin Gang”通过虚假招聘窃取Bybit交易所密钥，与TraderTraitor攻击形成“双线收割”。

2. 人才选拔与流动机制；朝鲜建立了一条从小学到实战的完整黑客生产线。

早期筛选：在小学阶段选拔数学尖子生，送入平壤重点中学接受每周30小时计算机训练，课程涵盖Linux系统攻防与AI基础。

大学分化：精英进入金日成军事大学网络战专业，普通学员成为海外IT工人。两类人员在职业中期可能交叉，如Lazarus创始成员现管理APT45团队。

跨国轮换：攻击组成员定期在俄罗斯、老挝等地轮岗，既规避追查又获取新技术。例如，两名原驻老挝IT工人2025年转移至符拉迪沃斯托克，涉嫌策划800万美元加密货币盗窃。

攻击图谱

报告将朝鲜网络行动归纳为五大相互交织的任务领域，展现其战术创新：

1. 加密货币劫掠体系；朝鲜构建了专业化的数字货币盗窃产业链。

TraderTraitor集团：采用“社会工程+技术漏洞”组合拳，2025年通过伪造Bybit内部审计流程，在钱包转账环节劫持14亿美元。

CryptoCore集团：长期潜伏加密货币交易所，通过钓鱼邮件（伪装风投机构）逐步渗透内网，累计窃取超2亿美元。

洗钱网络：利用香港空壳公司（如Volasys Silver Star）和P2P交易平台转移赃款，区块链数据显示，2025年3月被盗资金在72小时内经17个中转地址完成混币。

2. 关键基础设施破坏

APT45（代号Andariel）展现了朝鲜的物理破坏能力：该集团2013年用数据擦除器瘫痪韩国银行系统后，2024年转向攻击美国医院，使用Maui勒索软件加密患者诊疗数据，迫使至少3家医疗机构支付赎金。美国国务院为此悬赏1000万美元通缉其头目Rim Jong Hyok。

3. 军事技术间谍网络

TEMP.Hermit集团：专注于国防工业情报窃取，2020年发起“DreamJob”钓鱼行动，针对航空航天工程师发送虚假职位邀请，窃取高超音速导弹设计图。

Ruby Sleet小组：2021年伪装成WHO官员，以COVID-19合作为诱饵渗透疫苗研究机构，获取mRNA技术资料。

4. 全球IT劳动力渗透；朝鲜IT工人的操作模式呈现高度专业化。

身份伪造产业链：从盗用护照信息到生成AI伪造面试视频，形成完整供应链。报告中披露的“Benjamin”伪造案例显示，攻击者使用深度伪造技术实时修改面试者面部特征以匹配盗用身份。

跨平台协同攻击：IT工人利用企业虚拟桌面（VDI）同时接入多家公司系统，曾出现用A公司设备访问B医院数据库的严重OPSEC失误。

5. AI驱动的认知战；“研究中心227”正在开发三大AI武器。

深度伪造宣传工具：批量生成政治人物虚假演讲视频，2024年测试期间曾伪造韩国总统对朝绥靖言论。

自动化漏洞挖掘系统：通过机器学习分析GitHub开源代码，识别未公开的零日漏洞。

智能无人机控制系统：2025年3月测试的AI自杀式无人机，可自主识别军事目标并实施撞击。

防御困境与应对策略

1. 传统归因模型失效；朝鲜通过“任务导向型”架构消解传统追踪。

动态重组：APT38于2022年拆分为TraderTraitor与CryptoCore，前者专注加密货币盗窃，后者渗透金融系统，但共享同一批开发人员。

工具复用：TEMP.Hermit集团的MISTPEN后门程序既用于间谍活动，也适配加密货币钱包窃取。

2. 企业防御薄弱环节；报告揭露企业招聘流程的致命漏洞。

面试欺诈：朝鲜IT工人使用生成式AI实时生成技术答案，通过眼球追踪分析发现，候选人在回答复杂问题时视线频繁右移（典型回忆非真实经历的特征）。

在职监控缺失：某案例中，攻击者使用同一密码访问6家公司的VPN系统，但因各企业日志未共享，直到2年后数据泄露才被发现。

3. 多层次防御方案；DTEX提出“生存周期防御”框架。

雇佣前筛查：强制开启实时摄像头验证地理位置（IP地址与背景地标匹配），采用随机技术题库（防止预背答案）。

在职监控：部署行为分析系统，标记异常模式（如深夜登录+高频截屏操作），并与人力资源管理平台集成，自动关联低绩效员工与风险行为。

国际合作：建议建立跨行业情报联盟，共享IT工人身份特征库（如惯用技能组合、简历模板），并联合监管加密货币混币服务。

结论

报告最终指出，朝鲜网络威胁的本质是“国家组织的全球性犯罪”，需突破三点认知局限：

人员属性重构：APT黑客与IT工人本质是同一系统的不同分工，前者开发攻击工具，后者提供基础设施访问权限。

动机理解深化：生存压力驱动的攻击者更易出现OPSEC失误（如重复使用密码），这应成为防御突破点而非次要因素。

响应机制升级：建立“预测性防御”体系，通过分析平壤政权政策动向（如领导人年度讲话）预判攻击目标转向，而非被动追溯攻击事件。

报告以曼迪亚的警告收尾：“当我们的防御体系还停留在识别‘谁发动攻击’时，朝鲜已经在问‘下一个脆弱点在哪里’。”这一差距，正是当前全球网络安全最危险的断层线。

参考资源

1、https://www.bankinfosecurity.com/north-koreas-hidden-workforce-exposed-in-new-report-a-28401

2、https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/dtex-exposingdprkcybersyndicateandhiddenitworkforce.pdf

原文始发于微信公众号（网空闲话plus）：最新报告:朝鲜网络犯罪集团及其隐藏IT劳动力分析