Part01

内鬼威胁的演变

近年来，网络安全格局发生了根本性转变，内部威胁的定义不断演进。过去数十年间，企业安全工作的重点一直是防范心怀不满的员工或疏忽大意的承包商泄露敏感数据。而如今，最具危害性的内部威胁往往是那些通过虚假身份受雇的人员，他们专门从事转移公司资金、窃取知识产权以及为国家级黑客建立后门等恶意活动。这种转变反映了网络攻击手段的变化，尤其是朝鲜（DPRK）策划的行动。
Part02

年创收6亿美元的远程渗透计划

据联合国专家和执法机构估算，朝鲜运营着一个精密的远程工作者计划，每年为朝鲜政权创收约6亿美元。这些人员使用先进的身份窃取技术，在西方企业获取高薪远程职位。Silent Push分析师研究发现，朝鲜通常采用两种不同的渗透方式：第一种是安插长期潜伏者获取合法IT职位，这些人员可能正常工作数月，同时建立持久访问权限并创造收益；第二种是通过伪装成正规软件公司的空壳公司，诱骗技术人员参加面试，借机执行恶意代码攻破其安全防护。
Part03

身份验证陷阱与AI深度伪造技术

企业招聘流程中的身份验证环节存在重大漏洞。传统安全系统仅凭证书验证身份，当应聘者提供有效的社保号码、通过第三方背景调查，并利用AI驱动的深度伪造技术通过视频面试后，就能获得系统访问权限。

这些人员入职后，会使用西方住宅IP地址伪造本地员工足迹，伪装成来自郊区的合法远程工作者。安全团队通常依赖IP地理定位和地理围栏检测可疑活动，但朝鲜人员通过多层代理链绕过这些控制，将流量路由至位于美国的物理设备。
Part04

三重检测盲区

这种复杂手段造成三个关键检测盲区：使数据中心流量看似合法的住宅IP假象、针对被盗身份而非真人的背景调查漏洞，以及实体笔记本电脑农场能通过MAC地址检查和设备安全评估（而虚拟系统无法通过）的硬件真实性陷阱。

雇佣朝鲜渗透者的后果远超直接安全威胁，企业可能面临OFAC制裁违规、不可逆的知识产权损失，以及需要全面基础设施审计的高成本应急响应。防范此类威胁需要企业超越传统背景调查，核实远程员工的实际物理位置，并通过高级网络流量分析在威胁接触敏感系统前识别可疑连接模式。

参考来源：

DPRK’s Remote Workers Generating $600M Using Identity Theft to Gain Access to Sensitive Systems

https://cybersecuritynews.com/dprks-remote-workers-generating-600m-using/

文章来源 ：FreeBuf