朝鲜黑客用AI骗过HR！伪装工程师潜伏窃取28亿全过程曝光

安全研究人员 BCA LTD、NorthScan 和 ANY.RUN 部署蜜罐诱捕 Lazarus Group 千里马师，通过伪装开发者笔记本全程录像朝鲜黑客作案过程。视频显示朝鲜特工使用 AI 工具生成完美面试答案，隐藏位置并设置固定 PIN 码的 Google 远程桌面确保长期控制，专注建立模范员工形象而非立即攻击。

28 亿美元网络犯罪成朝鲜国家经济支柱

这事件只是一个更大产业体系的一部分，该体系已将就业诈骗作为受制裁政权的主要收入来源。多边制裁监测小组最近估计，与平壤有关联的组织在 2024 年至 2025 年 9 月期间窃取了约 28.3 亿美元的数字资产。这个数字约占朝鲜外汇收入的三分之一，显示网络盗窃已成为主权经济战略。

28.3 亿美元的规模相当于许多小国的年度 GDP。这笔资金被用于支持朝鲜的核武器和弹道导弹计划，使得打击朝鲜黑客不仅是网络安全问题，更是国际安全议题。美国财政部、FBI 和多国执法机构都将追踪和阻止朝鲜网络犯罪列为优先事项。

在国际制裁切断了朝鲜的正常贸易渠道后，网络犯罪成为该国获取外汇的最重要手段之一。与传统的武器走私或毒品贸易不同，网络犯罪的成本低、风险相对小、且收益巨大。一个训练有素的朝鲜黑客团队，只需要电脑和网络连接，就能从全球任何地方窃取数百万美元。

这种国家级产业化运作显示朝鲜已经将网络犯罪视为战略资源。Lazarus Group 和千里马师不是散兵游勇，而是接受国家培训、领取政府薪资、并被赋予明确任务目标的正规军。他们的行动经过精心策划，从目标选择、身份伪造、技术手段到资金洗钱，每个环节都有专业分工。

朝鲜网络犯罪产业化的四大特征

国家培训体系：从中学开始选拔黑客人才，提供专业技术和语言训练

全球分散部署：朝鲜黑客分散在中国、东南亚和俄罗斯等地，降低被追踪风险

组织化分工：渗透、攻击、洗钱各环节由不同小组负责，提高效率

任务导向管理：每个小组有明确的年度窃取目标，完成任务者获得奖励

2025 年 2 月，一家大型 CEX 交易所遭到攻击，这彻底证明了这种「人为因素」攻击手段的有效性。在那起事件中，被归咎于 TraderTraitor 组织的朝鲜黑客利用被盗用的内部凭证，将外部转账伪装成内部资产转移，最终控制了冷钱包智能合约。该 CEX 损失超过 14 亿美元，成为加密货币史上最大的单一盗窃案之一。

AI 工具武器化：从生产力到攻击力的致命转变

（来源：BCA LTD）

朝鲜黑客对 AI 生产力工具的武器化运用，是这次蜜罐行动最令人不安的发现。他们利用合法的求职自动化软件，包括 Simplify Copilot 和 AiApply，大规模地产生完善的面试答案并填写申请表。这些工具原本是为了帮助求职者提高效率，现在却成为朝鲜特工绕过人力资源筛选的武器。

Simplify Copilot 可以根据职位描述自动生成定制化的求职信和简历，AiApply 则能够模拟人类回答技术面试问题。朝鲜黑客将这些工具与被盗的真实美国工程师身份结合，创造出几乎无懈可击的求职申请。人力资源部门看到的是完美的简历、流畅的面试表现和真实的身份背景，完全没有理由怀疑。

这种对西方生产力工具的使用凸显了一种令人不安的升级趋势，显示国家行为体正在利用旨在简化企业招募流程的人工智能技术来击败它们。这也揭示了 AI 技术的双面性：相同的工具既可以提高生产力，也可以成为攻击武器。企业在采用 AI 招募工具时，必须考虑这些工具可能被恶意利用的风险。

调查显示，朝鲜黑客通过路由流量以隐藏其位置，并使用基于浏览器的服务来处理与被盗身份相关的双重认证码。这种技术栈的组合显示他们对西方企业的安全措施有深入了解。绕过地理位置检查，浏览器服务处理 2FA 验证码，被盗身份提供合法的背景资料，三者结合形成了完整的伪装体系。

最终目标并非立即摧毁目标，而是长期控制。行动人员通过 PowerShell 设置了具有固定 PIN 码的 Google 远程桌面，确保即使主机试图撤销权限，他们也能继续控制目标机器。这种后门机制显示朝鲜黑客的耐心和长期规划能力，他们愿意花费数月时间建立信任，只为在关键时刻获得系统的完全控制权。

蜜罐实录揭露完整攻击链与应对策略

（来源：NorthScan）

安全研究人员将朝鲜特工诱骗到一台装有陷阱的「开发者笔记本电脑」中，并用摄像机现场拍摄了他们的行动。BCA LTD、NorthScan 和恶意软件分析平台 ANY.RUN 的研究人员实时捕捉到了国家支持的网络犯罪的演进。这种蜜罐诱捕行动为理解朝鲜黑客的完整攻击链提供了前所未有的视角。

行动始于研究人员创建了一个开发者身份，并接受了一位化名为「Aaron」的招募人员的面试邀请。这位招募人员并没有部署标准的恶意软件，而是引导目标对象接受了 Web3 领域常见的远程工作安排。当研究人员授予对笔记本电脑的访问权限时，朝鲜特工并没有试图利用代码漏洞，相反，他们专注于建立自己作为模范员工的形象。

这段视频让业界得以最清楚地看到朝鲜部队，特别是著名的千里马师，是如何通过直接被目标国家的人力资源部门录用来绕过传统防火墙的。千里马师（Chollima）是朝鲜网络战部队的精锐单位，其命名来自朝鲜神话中的千里马，象征快速和高效。这个单位专门负责针对金融机构和加密货币公司的渗透行动。

从本质上讲，他们并不是试图立即入侵钱包，而是试图将自己塑造成值得信赖的内部人士，从而获得访问内部存储库和云端仪表板的权限。他们运行系统诊断程序来验证硬件，处理正常的开发任务，参与团队会议，完全表现得像一个尽职的远程员工。这种耐心和伪装能力是最可怕的，因为它使得企业几乎不可能在早期阶段识别威胁。

朝鲜黑客完整攻击链的六个阶段

身份准备：窃取或购买真实美国工程师的身份证件和 LinkedIn 账号

AI 辅助求职：使用 Simplify Copilot 和 AiApply 生成完美申请和面试答案

通过面试：展现真实的技术能力和流利的英语沟通

建立信任：初期表现积极专业，完成分配的开发任务

植入后门：设置 Google 远程桌面等持久化控制机制

等待时机：耐心潜伏直到获得关键系统权限或钱包访问权

从 KYC 到 KYE：企业防御范式的根本转变

社会工程学的兴起为数字资产产业带来了严重的责任危机。今年早些时候，Huntress 和 Silent Push 等安全公司记录了一些幌子公司的网络，其中包括 BlockNovas 和 SoftGlide，这些公司拥有有效的美国公司注册和可信赖的 LinkedIn 个人资料。这些实体以技术评估为幌子，成功诱使开发者安装恶意脚本。

对于合规官和首席信息安全官而言，挑战已经发生了变化。传统的「了解你的客户」（KYC）协议专注于客户，但 Lazarus 工作流程需要严格的「了解你的员工」（KYE）标准。这种范式转变要求企业重新思考整个招募和员工管理流程。

司法部已经开始打击这些 IT 诈骗活动，查获了与这些诈骗活动相关的 774 万美元，但检测落后仍然很严重。774 万美元相比 28.3 亿美元的总窃取金额只是冰山一角，显示执法行动的效果有限。朝鲜黑客网络分散在全球多个国家，利用加密货币的匿名性和跨境特性，使得追踪和起诉极为困难。

正如 BCA LTD 的钓鱼执法行动所表明的那样，抓住这些犯罪分子的唯一方法可能是从被动防御转向主动欺骗，创造可控环境，迫使威胁行为者在获得资金控制权之前暴露他们的犯罪技巧。这种主动防御策略代表了网络安全思维的重大转变，从筑墙防守到设陷诱捕。

加密企业 KYE 流程的五大关键措施

多轮视频面试：要求开启摄像头，观察面试者的微表情和环境细节

技术能力即时验证：现场编程测试，而非仅看过往作品集

背景深度调查：联系前雇主、验证学历、检查社交媒体历史真实性

渐进式权限授予：新员工最初仅能访问非敏感系统，逐步提升权限

异常行为监控：检测隐藏位置工具、异常工作时间和可疑工具安装

蜜罐策略的成功显示，面对国家级网络威胁，传统的被动防御已经不够。企业需要主动出击，设置诱饵系统来吸引和识别潜在威胁。当朝鲜黑客以为自己成功渗透时，实际上是在暴露自己的工具、技术和流程（TTPs），为安全社群提供宝贵的威胁情报。

从更宏观的角度看，这起事件凸显了远程工作时代的新型安全挑战。当团队成员分散在全球各地，从未见过面时，如何确保每个人的身份真实性成为关键问题。加密产业因其高价值资产和普遍的远程文化，成为朝鲜黑客的主要目标。企业必须在保持远程工作灵活性的同时，建立更严格的员工验证和监控机制。