北韓黑客行動如何在全球平台維持30多個假身份

近期對遭受攻擊的北韓IT工作人員設備的調查揭示了一個由五人組成的高級技術團隊的運作藍圖，該團隊管理著一個龐大的虛假線上身份網絡。這些揭露由知名鏈上偵探 ZachXBT 分享，提供了前所未有的洞察，展示這些行動者如何系統性地滲透加密貨幣開發項目和全球科技公司。

大規模身份欺詐背後的基礎設施

該團隊的運作模式依賴於購買現有帳號和部署遠端存取工具。他們的獲取策略包括購買 Upwork 和 LinkedIn 個人資料、取得假社會安全號碼 (SSNs)，以及租用電話號碼和電腦設備。一旦裝備齊全，他們便利用 AnyDesk 遠端桌面軟體，同時在多個平台完成外包開發工作。

從他們系統中恢復的費用記錄顯示了一個複雜的供應鏈：像 Payoneer 這樣的加密貨幣支付處理商將法幣收入轉換為數位資產，而訂閱 AI 服務和反向 VPN/代理服務則掩蓋他們的真實地理位置和運作足跡。這種層層包裝的方法使他們能在多次曝光嘗試中仍持續存取全球勞動市場。

運作流程與內部挑戰

Google Drive 文件和 Chrome 瀏覽器配置檔揭示了內部工作流程，顯得出乎意料的平凡。每週績效報告詳細列出任務分配、預算配置和故障排除筆記。一份記錄捕捉到一名團隊成員的挫折感：「不理解工作需求，也不知道該做什麼」，而主管的回應則僅是「全心投入，努力工作」。

詳細的時間表顯示，像「Henry Zhang」這樣的虛構身份在不同專案中被部署，並配合預設的會議流程。這種規範化管理，儘管地理分散，卻暗示著集中式的管理體系——這是一個關鍵的漏洞，最終導致他們被揭露。

財務線索與身份確認

一個關鍵的錢包地址 (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c)，與2025年6月發生的價值68萬美元 Favrr 協議攻擊相關，提供了首次重大突破。受害者的被攻破的 CTO 和開發人員後來被確認為在偽造身份下運作的北韓IT工作人員。這個地址成為將團隊與多起行業滲透事件聯繫起來的重要識別標誌。

語言證據同樣令人震驚。搜尋歷史顯示他們頻繁依賴 Google 翻譯，韓語翻譯內容經由俄羅斯 IP 地址處理——這種反向地理位置模式與聲稱的工作人員所在地不符。

企業防禦面臨的挑戰升高

調查凸顯了現行安全架構中的系統性漏洞：

平台協調缺口：服務提供商和私營企業缺乏正式的情報共享機制，使得相同的欺詐身份能在多個平台間循環而不被察覺。

被動招聘策略：目標公司在收到風險警告時常採取防禦措施，優先考慮營運連續性而非安全調查合作。

數字規模優勢：雖然個別技術水準尚屬中等，但滲透嘗試的數量龐大——利用龐大的人才庫，壓倒傳統篩選流程。

加密貨幣支付轉換：將法幣收入轉換為數位資產的便利性，消除了傳統銀行的阻礙，讓外國行動者更易操作。

這些運作上的漏洞並非來自高超的技術，而是因為偵測需要跨平台的主動合作，而目前在加密貨幣和科技產業中，這樣的合作尚未大規模建立。