文章总结： 朝鲜利用假身份远程入职西方企业，年赚6亿美元；手段含空壳公司面试投毒、深度伪造面试、住宅IP代理链与笔记本农场，绕过背景调查与地理围栏，形成住宅IP假象、身份调查错位、硬件真实性三重盲区，企业面临制裁、知识产权损失与高昂应急审计，需验证员工物理位置并做流量行为分析。 综合评分： 88 文章分类： 威胁情报,内网渗透,社会工程学,安全运营,数据泄露

朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元

FreeBuf

2026年1月14日 18:31 上海

Part01

内鬼威胁的演变

近年来，网络安全格局发生了根本性转变，内部威胁的定义不断演进。过去数十年间，企业安全工作的重点一直是防范心怀不满的员工或疏忽大意的承包商泄露敏感数据。而如今，最具危害性的内部威胁往往是那些通过虚假身份受雇的人员，他们专门从事转移公司资金、窃取知识产权以及为国家级黑客建立后门等恶意活动。这种转变反映了网络攻击手段的变化，尤其是朝鲜（DPRK）策划的行动。

Part02

年创收6亿美元的远程渗透计划

据联合国专家和执法机构估算，朝鲜运营着一个精密的远程工作者计划，每年为朝鲜政权创收约6亿美元。这些人员使用先进的身份窃取技术，在西方企业获取高薪远程职位。Silent Push分析师研究发现，朝鲜通常采用两种不同的渗透方式：第一种是安插长期潜伏者获取合法IT职位，这些人员可能正常工作数月，同时建立持久访问权限并创造收益；第二种是通过伪装成正规软件公司的空壳公司，诱骗技术人员参加面试，借机执行恶意代码攻破其安全防护。

Part03

身份验证陷阱与AI深度伪造技术

企业招聘流程中的身份验证环节存在重大漏洞。传统安全系统仅凭证书验证身份，当应聘者提供有效的社保号码、通过第三方背景调查，并利用AI驱动的深度伪造技术通过视频面试后，就能获得系统访问权限。

这些人员入职后，会使用西方住宅IP地址伪造本地员工足迹，伪装成来自郊区的合法远程工作者。安全团队通常依赖IP地理定位和地理围栏检测可疑活动，但朝鲜人员通过多层代理链绕过这些控制，将流量路由至位于美国的物理设备。

Part04

三重检测盲区

这种复杂手段造成三个关键检测盲区：使数据中心流量看似合法的住宅IP假象、针对被盗身份而非真人的背景调查漏洞，以及实体笔记本电脑农场能通过MAC地址检查和设备安全评估（而虚拟系统无法通过）的硬件真实性陷阱。

雇佣朝鲜渗透者的后果远超直接安全威胁，企业可能面临OFAC制裁违规、不可逆的知识产权损失，以及需要全面基础设施审计的高成本应急响应。防范此类威胁需要企业超越传统背景调查，核实远程员工的实际物理位置，并通过高级网络流量分析在威胁接触敏感系统前识别可疑连接模式。

参考来源：

DPRK’s Remote Workers Generating $600M Using Identity Theft to Gain Access to Sensitive Systems

DPRK’s Remote Workers Generating $600M Using Identity Theft to Gain Access to Sensitive Systems

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元》