朝鮮黑客團隊的內部運作揭祕

近期，一位匿名白帽黑客成功入侵了一名朝鮮IT工作者的設備，揭露了一個由五人組成的技術團隊如何利用30多個虛假身分進行網路活動的內幕。這個團隊不僅持有僞造的官方身分證件，還通過購買在線平台帳號滲透各類開發項目。

調查人員獲取了該團隊的雲端存儲數據、瀏覽器配置文件和設備截圖。資料顯示，團隊高度依賴某科技巨頭的辦公套件來協調工作日程、分配任務和管理預算，所有溝通均使用英語進行。

一份2025年的週報文件揭示了該黑客團隊的工作模式及面臨的挑戰。例如，有成員曾抱怨"無法理解工作要求，不知道該做什麼"，而對應的解決方案竟然是"用心投入，加倍努力"。

團隊的支出明細記錄顯示，他們的開銷項目包括購買社會安全號碼(SSN)、交易在線平台帳號、租用電話號碼、訂閱AI服務、租賃電腦以及購買VPN/代理服務等。

一份詳細的電子表格記錄了以虛假身分"Henry Zhang"參加會議的時間安排和話術腳本。操作流程顯示，這些朝鮮IT工作者會先購置在線平台帳號，租用電腦設備，然後通過遠程控制工具完成外包工作。

調查還發現了團隊用於收發款項的一個錢包地址，該地址與2025年6月發生的68萬美元協議攻擊事件存在密切鏈上關聯。事後證實，被攻擊項目的CTO及其他開發人員均爲持僞造證件的朝鮮IT工作者。通過這個地址，還識別出其他被滲透項目中的朝鮮IT人員。

團隊成員的搜索記錄和瀏覽器歷史中發現了大量關鍵證據。有人可能會質疑如何確認他們來自朝鮮，除了上述提到的欺詐性文件外，他們的搜索歷史還顯示頻繁使用在線翻譯服務，並使用俄羅斯IP將內容翻譯成韓語。

目前，企業在防範朝鮮IT工作者方面面臨的主要挑戰包括：

1. 系統性協作缺失：平台服務商與私營企業之間缺乏有效的信息共享與合作機制。
2. 僱傭方失察：用人團隊在收到風險警示後往往表現出防御性態度，甚至拒絕配合調查。
3. 數量優勢衝擊：雖然其技術手段並不復雜，但憑藉龐大的求職者基數持續滲透全球就業市場。
4. 資金轉換渠道：一些支付平台被頻繁用於將開發工作所得法幣收入兌換爲加密貨幣。

這次調查爲業界提供了一個難得的機會，以主動視角揭露朝鮮黑客的"工作"方法，對於項目方進行事前安全布防具有重要意義。企業和個人都應該提高警惕，加強對潛在威脅的識別和防範能力。