美国财政部外国资产控制办公室(OFAC)这次出手又准又狠,直接点名六个个人和两个实体,全都跟朝鲜的IT劳工骗局脱不了干系。核心目的就一个:通过假装远程员工骗美国公司薪水,把钱洗回平壤养核武和导弹项目。
这套玩法早几年就叫Coral Sleet、Jasper Sleet、PurpleDelta、Wagemole,现在被曝光得更彻底。朝鲜IT人员用偷来的身份、假证件、捏造的LinkedIn头像和履历,混进美国和其他国家的正规公司。拿到offer后,大部分工资通过层层中转汇回国内。光是2023年中到2025年中,越南的Quangvietdnbg International Services就帮朝鲜人把250万美元换成了加密货币。另一个关键人物Yun Song Guk,从2023年起在老挝博登坐镇,带几十号人接freelance单子,光跟Hoang Minh Quang的交易就超过7万美元。
更阴的是,他们不光骗钱,还带恶意软件进公司。窃取核心代码、敏感数据,偷完再勒索赎金,不给钱就公开爆料。微软把Jasper Sleet这伙人盯得死死的,说他们把AI用到了极致。从生成假头像、写假简历,到做假公司官网,甚至用越狱后的LLM快速改写恶意代码,整个攻击链条成本低到可怕。Faceswap这种工具直接把朝鲜人脸P到偷来的美国人证件上,头照还修得跟专业摄影棚出品一样。面试时用AI润色回答,入职后低调蛰伏,慢慢提权。
LevelBlue研究发现,这些人基本不在朝鲜本土干活,大多窝在中国。原因简单:网速稳,Astrill VPN能轻松翻墙,用美国出口节点伪装成本地员工。微软也抓到一个活例子,2025年8月15日有人应聘Salesforce远程岗,干了10天就被开除——登录IP一直在暴露中国地址。
Flare和IBM X-Force的报告把组织架构扒得一清二楚。顶层是招募者,筛选人才、录面试视频;中间是协调员和IT工,负责造人设、投简历、拿offer;最底层是西方“合作者”,很多从LinkedIn和GitHub上忽悠来的,愿意或被骗提供身份、接收公司发的笔记本。这些人一旦得手,等于给朝鲜开了长期合法后门。
制裁名单里最显眼的是Amnokgang Technology Development Company。这家表面做IT派遣,实际管海外劳工团伙,顺带搞军民两用技术走私。越南的Nguyen Quang Viet负责换汇,Do Phi Khanh和Hoang Van Nguyen帮金某开账户、洗钱。Yun Song Guk则是现场指挥。
加密货币在这条链条里作用巨大。薪资转成USDT、BTC后层层拆分,绕开传统银行监管。当前市场一片血海,BTC现报$71,331(24h -4.43%),ETH现报$2,192(24h -6.10%),主流币集体下挫,流动性差的时候这种大额跨境转账反而更容易隐藏。
美国这轮制裁等于公开宣战:别以为远程办公是真空地带。企业现在得把假招聘当成内部威胁来防。异常登录地、持续低速操作、凌晨大量代码提交,这些信号都得拉响警报。微软说得直白,信任的长期访问才是最大风险。
朝鲜靠这套体系年入数亿美元已不是秘密。制裁名单再加长,也挡不住新一批人顶上。AI门槛越降越低,假身份越做越真,防守方却永远慢半拍。企业HR多看一眼IP归属,安全团队多抓几个异常行为,或许就能少养几个“远程导弹工程师”。这仗,短时间内停不下来。