金正恩政權秘密動員據報超過 10 萬名 IT 從業者,以偽造身份遠端受僱於全球企業,單在 2024 年便為平壤輸送近 8 億美元(約港幣 62.4 億元)外匯收入,直接資助彈道飛彈及大規模殺傷性武器研發。
這場跨越十餘年國家級網絡滲透行動,在 2026 年 3 月迎來重大曝光節點。網絡安全公司 Flare Research 與 IBM X-Force 於 3 月 18 日聯合發布最新報告,首度揭示北韓 IT 工作者詐騙網絡內部運作機制,包括管理儀表板、內部培訓材料及每日工時追蹤系統,顯示這絕非個人行為,而是一套由國家統一調度、高度制度化跨國賺匯機器。本文深入剖析三大核心面向:詐騙滲透機制、近期執法升級,以及企業如何有效防禦。
如何悄然「入職」全球企業
北韓 IT 工作者使用身份造假技術,已從早期粗糙偽裝進化至系統性工業化操作。根據 Flare Research 與 IBM X-Force 聯合報告,候選人在求職過程中被要求使用美國人名,培訓材料明確指導如何應對招聘流程各項審查,以提高成功入職機率。求職者通常以具備遠端外包項目相關技術能力作為賣點,主動瞄準那些依賴全球外包、身份核查機制相對薄弱企業,有系統地尋找制度漏洞。
為規避 IP 追蹤,這批「影子員工」廣泛使用北韓自研 NetKey VPN 及商業工具 Astrill VPN 隱藏真實地理位置,並透過 IP Messenger 等去中心化平台與上級保持聯絡。更值得關注是,最新研究發現北韓已引入 AI 「Faceswap」換臉技術,將真實面孔嵌入竊取身份證件中,並生成專業履歷頭像,使偽裝可信度大幅提升。此外,他們在美國境內佈建「手提電腦農場」——由美國境內同謀收取公司寄送裝置並提供本地網絡連接,讓北韓工作者得以遠端操控,完美偽裝成美國本土員工。
IBM X-Force 戰略網絡威脅分析師 Josh Chung 指出:「北韓 IT 工作者正以許多組織仍然低估方式,悄然穿越企業招聘漏洞與身份核查缺口。」報告中揭露「RB Site」與「NetkeyRegister」等內部管理平台,功能涵蓋工作進度監控、裝置註冊及軟件分發,清楚印證這是一套中央統一指揮系統工程,而非鬆散個人行為。
近 8 億美元流向核武庫
在資金規模上,這場滲透行動收益已遠超外界此前預估。美國財政部海外資產控制辦公室(OFAC)於 2026 年 3 月 12 日制裁 6 名個人及 2 個實體,其聲明顯示,相關詐騙計畫在 2024 年單年度為北韓政權創收近 8 億美元(約港幣 62.4 億元),資金主要流向彈道飛彈計畫及大規模殺傷性武器研發。洗錢路徑方面,北韓利用中國網絡將薪資轉換為加密貨幣,再透過多層結構空殼公司完成清洗,大大增加追蹤難度。
財政部長 Scott Bessent 在制裁公告中直言:「北韓政權透過海外 IT 特工對美國企業實施欺詐,將竊取敏感數據武器化,並向企業勒索鉅額款項。」美國已對多名境內同謀提起聯邦訴訟,被指控涉及運營手提電腦農場與資金洗白,顯示執法行動已從打擊海外端延伸至本土共謀網絡。早在 2022 年,美國政府研究已發現,部分北韓遠端 IT 從業者從西方企業獲取年收入可超過 30 萬美元(約港幣 234 萬元),而絕大部分款項最終被上繳平壤政權。
這種「用薪資換武器」模式,令傳統反洗錢機制難以攔截,因為資金源頭在外界看來是完全合法勞務報酬。Chainalysis 研究進一步指出,加密貨幣匿名性與跨境流動便捷性,為北韓提供了幾乎無縫資金轉移通道,使制裁效力大打折扣。
威脅版圖持續擴張
北韓 IT 滲透行動並非靜態威脅,而是隨著全球遠端工作生態快速演化。根據 NBC News 最新調查報告,北韓 IT 團隊已開始將部分工作外包給巴基斯坦、尼日利亞及印度開發者,滲透領域亦從純 IT 開發擴展至客戶服務、金融處理、保險及翻譯等行業,使識別難度倍增。DTEX 公司國家威脅主管 Barnhart 指出:「除非掌握外部情資,否則你根本意識不到對方是北韓人,他們正設法進駐中層管理職位,且已取得實際成效。」
從歷史脈絡看,美國財政部與司法部自 2022 年起已多次發出預警,指北韓遠端 IT 工作者構成系統性安全威脅;2024 年多宗聯邦起訴案更揭示網絡龐大規模。Cloudflare 於 2026 年 3 月發布威脅情報報告亦獨立確認,北韓人員結合 AI 深度偽造內容與偽造身份證明,正大規模繞過企業招聘篩選機制,直接滲透進入西方企業薪資系統。這場源自網絡空間「就業滲透戰」,正憑藉開源軟件、商業 VPN 與全球化遠端協作趨勢持續擴大影響力。
企業防禦關鍵盲區
面對這一高度組織化國家級威脅,傳統背景審查機制正暴露出結構性缺陷。Flare Research 建議,企業不應僅依賴一次性入職核查,而應在日常工作流程中持續追蹤員工行為模式,包括監測異常登入時間、非常規 VPN 使用及不尋常數據存取行為。真實身份驗證方面,企業可要求定期進行視訊驗證,並比對不同時間段面孔特徵,以識別可能 AI 深度偽造。
研究人員特別強調,建立長期個人化信任關係至關重要——透過日常互動、非正式溝通及細節觀察,往往能更早識別出「行為異常」可疑人員,而這是任何技術系統都難以替代人際安全網絡。FBI 已確認至少 10 名美國境內同謀被起訴,預計涉案網絡實際規模仍遠不止於此。
隨著 AI 技術門檻持續下降,北韓 IT 詐騙偽裝能力只會愈來愈強。對於依賴遠端外包、國際人才招募企業而言,如何在保持用工靈活性同時識別並攔截國家級威脅行為者,已成為一個無法迴避戰略議題。當一份「完美履歷」背後可能隱藏著一位平壤特工,企業安全邊界或許早已從防火牆延伸至 HR 部門辦公桌。
資料來源: flare.io
