北韓駭客用 AI 騙過 HR！偽裝工程師潛伏竊 28 億全程曝光

安全研究人員 BCA LTD、NorthScan 和 ANY.RUN 部署蜜罐誘捕 Lazarus Group 千里馬師，透過偽裝開發者筆電全程錄影北韓駭客作案過程。影片顯示北韓特工使用 AI 工具產生完美面試答案，掩蓋位置並設定固定 PIN 碼的 Google 遠端桌面確保長期控制，專注建立模範員工形象而非立即攻擊。

28 億美元網路犯罪成北韓國家經濟支柱

這事件只是一個更大產業體系的一部分，該體系已將就業詐欺作為受制裁政權的主要收入來源。多邊制裁監測小組最近估計，與平壤有關聯的組織在 2024 年至 2025 年 9 月期間竊取了約 28.3 億美元的數位資產。這個數字約佔北韓外匯收入的三分之一，顯示網路竊盜已成為主權經濟策略。

28.3 億美元的規模相當於許多小國的年度 GDP。這筆資金被用於支持北韓的核武器和彈道導彈計劃，使得打擊北韓駭客不僅是網路安全問題，更是國際安全議題。美國財政部、FBI 和多國執法機構都將追蹤和阻止北韓網路犯罪列為優先事項。

在國際制裁切斷了北韓的正常貿易管道後，網路犯罪成為該國獲取外匯的最重要手段之一。與傳統的武器走私或毒品貿易不同，網路犯罪的成本低、風險相對小、且收益巨大。一個訓練有素的北韓駭客團隊，只需要電腦和網路連接，就能從全球任何地方竊取數百萬美元。

這種國家級產業化運作顯示北韓已經將網路犯罪視為戰略資源。Lazarus Group 和千里馬師不是散兵游勇，而是接受國家培訓、領取政府薪資、並被賦予明確任務目標的正規軍。他們的行動經過精心策劃，從目標選擇、身分偽造、技術手段到資金洗錢，每個環節都有專業分工。

北韓網路犯罪產業化的四大特徵

國家培訓體系：從中學開始選拔駭客人才，提供專業技術和語言訓練

全球分散部署：北韓駭客分散在中國、東南亞和俄羅斯等地，降低被追蹤風險

組織化分工：滲透、攻擊、洗錢各環節由不同小組負責，提高效率

任務導向管理：每個小組有明確的年度竊取目標，完成任務者獲得獎勵

2025 年 2 月，一家大型 CEX 交易所遭到攻擊，這徹底證明了這種「人為因素」攻擊手段的有效性。在那起事件中，被歸咎於 TraderTraitor 組織的北韓駭客利用被盜用的內部憑證，將外部轉帳偽裝成內部資產轉移，最終控制了冷錢包智慧合約。該 CEX 損失超過 14 億美元，成為加密貨幣史上最大的單一竊案之一。

AI 工具武器化：從生產力到攻擊力的致命轉變

（來源：BCA LTD）

北韓駭客對 AI 生產力工具的武器化運用，是這次蜜罐行動最令人不安的發現。他們利用合法的求職自動化軟體，包括 Simplify Copilot 和 AiApply，大規模地產生完善的面試答案並填寫申請表。這些工具原本是為了幫助求職者提高效率，現在卻成為北韓特工繞過人力資源篩選的武器。

Simplify Copilot 可以根據職缺描述自動產生客製化的求職信和履歷，AiApply 則能夠模擬人類回答技術面試問題。北韓駭客將這些工具與被盜的真實美國工程師身分結合，創造出幾乎無懈可擊的求職申請。人力資源部門看到的是完美的履歷、流暢的面試表現和真實的身分背景，完全沒有理由懷疑。

這種對西方生產力工具的使用凸顯了一種令人不安的升級趨勢，顯示國家行為體正在利用旨在簡化企業招募流程的人工智慧技術來擊敗它們。這也揭示了 AI 技術的雙面性：相同的工具既可以提高生產力，也可以成為攻擊武器。企業在採用 AI 招募工具時，必須考慮這些工具可能被惡意利用的風險。

調查顯示，北韓駭客透過路由流量以掩蓋其位置，並使用基於瀏覽器的服務來處理與被盜身分相關的雙重認證碼。這種技術棧的組合顯示他們對西方企業的安全措施有深入了解。繞過地理位置檢查，瀏覽器服務處理 2FA 驗證碼，被盜身分提供合法的背景資料，三者結合形成了完整的偽裝體系。

最終目標並非立即摧毀目標，而是長期控制。行動人員透過 PowerShell 設定了具有固定 PIN 碼的 Google 遠端桌面，確保即使主機試圖撤銷權限，他們也能繼續控制目標機器。這種後門機制顯示北韓駭客的耐心和長期規劃能力，他們願意花費數月時間建立信任，只為在關鍵時刻獲得系統的完全控制權。

蜜罐實錄揭露完整攻擊鏈與應對策略

（來源：NorthScan）

安全研究人員將北韓特工誘騙到一台裝有陷阱的「開發者筆記型電腦」中，並用攝影機現場拍攝了他們的行動。BCA LTD、NorthScan 和惡意軟體分析平台 ANY.RUN 的研究人員即時捕捉到了國家支持的網路犯罪的演進。這種蜜罐誘捕行動為理解北韓駭客的完整攻擊鏈提供了前所未有的視角。

行動始於研究人員創建了一個開發者身份，並接受了一位化名為「Aaron」的招募人員的面試邀請。這位招募人員並沒有部署標準的惡意軟體，而是引導目標對象接受了 Web3 領域常見的遠距工作安排。當研究人員授予對筆記型電腦的存取權時，北韓特工並沒有試圖利用程式碼漏洞，相反，他們專注於建立自己作為模範員工的形象。

這段影片讓業界得以最清楚地看到朝鮮部隊，特別是著名的千里馬師，是如何透過直接被目標國家的人力資源部門錄用來繞過傳統防火牆的。千里馬師（Chollima）是北韓網路戰部隊的精銳單位，其命名來自朝鮮神話中的千里馬，象徵快速和高效。這個單位專門負責針對金融機構和加密貨幣公司的滲透行動。

從本質上講，他們並不是試圖立即入侵錢包，而是試圖將自己塑造成值得信賴的內部人士，從而獲得存取內部儲存庫和雲端儀表板的權限。他們運行系統診斷程式來驗證硬體，處理正常的開發任務，參與團隊會議，完全表現得像一個盡職的遠距員工。這種耐心和偽裝能力是最可怕的，因為它使得企業幾乎不可能在早期階段識別威脅。

北韓駭客完整攻擊鏈的六個階段

身分準備：竊取或購買真實美國工程師的身分文件和 LinkedIn 帳號

AI 輔助求職：使用 Simplify Copilot 和 AiApply 產生完美申請和面試答案

通過面試：展現真實的技術能力和流利的英語溝通

建立信任：初期表現積極專業，完成分配的開發任務

植入後門：設置 Google 遠端桌面等持久化控制機制

等待時機：耐心潛伏直到獲得關鍵系統權限或錢包存取權

從 KYC 到 KYE：企業防禦範式的根本轉變

社會工程學的興起為數位資產產業帶來了嚴重的責任危機。今年早些時候，Huntress 和 Silent Push 等安全公司記錄了一些幌子公司的網絡，其中包括 BlockNovas 和 SoftGlide，這些公司擁有有效的美國公司註冊和可信賴的 LinkedIn 個人資料。這些實體以技術評估為幌子，成功誘使開發者安裝惡意腳本。

對於合規官和首席資訊安全官而言，挑戰已經發生了變化。傳統的「了解你的客戶」（KYC）協議專注於客戶，但 Lazarus 工作流程需要嚴格的「了解你的員工」（KYE）標準。這種範式轉變要求企業重新思考整個招募和員工管理流程。

司法部已經開始打擊這些 IT 詐騙活動，查獲了與這些詐騙活動相關的 774 萬美元，但檢測落後仍然很嚴重。774 萬美元相比 28.3 億美元的總竊取金額只是冰山一角，顯示執法行動的效果有限。北韓駭客網絡分散在全球多個國家，利用加密貨幣的匿名性和跨境特性，使得追蹤和起訴極為困難。

正如 BCA LTD 的釣魚執法行動所表明的那樣，抓住這些犯罪分子的唯一方法可能是從被動防禦轉向主動欺騙，創造可控環境，迫使威脅行為者在獲得資金控制權之前暴露他們的犯罪技巧。這種主動防禦策略代表了網路安全思維的重大轉變，從築牆防守到設陷誘捕。

加密企業 KYE 流程的五大關鍵措施

多輪視訊面試：要求開啟攝影機，觀察面試者的微表情和環境細節

技術能力即時驗證：現場編程測試，而非僅看過往作品集

背景深度調查：聯繫前僱主、驗證學歷、檢查社群媒體歷史真實性

漸進式權限授予：新員工最初僅能存取非敏感系統，逐步提升權限

異常行為監控：偵測掩蓋位置工具、異常工作時間和可疑工具安裝

蜜罐策略的成功顯示，面對國家級網路威脅，傳統的被動防禦已經不夠。企業需要主動出擊，設置誘餌系統來吸引和識別潛在威脅。當北韓駭客以為自己成功滲透時，實際上是在暴露自己的工具、技術和流程（TTPs），為安全社群提供寶貴的威脅情報。

從更宏觀的角度看，這起事件凸顯了遠距工作時代的新型安全挑戰。當團隊成員分散在全球各地，從未見過面時，如何確保每個人的身分真實性成為關鍵問題。加密產業因其高價值資產和普遍的遠距文化，成為北韓駭客的主要目標。企業必須在保持遠距工作靈活性的同時，建立更嚴格的員工驗證和監控機制。