朝鲜黑客团队的内部运作揭秘

近期，一位匿名白帽黑客成功入侵了一名朝鲜IT工作者的设备，揭露了一个由五人组成的技术团队如何利用30多个虚假身份进行网络活动的内幕。这个团队不仅持有伪造的官方身份证件，还通过购买在线平台账号渗透各类开发项目。

调查人员获取了该团队的云端存储数据、浏览器配置文件和设备截图。资料显示，团队高度依赖某科技巨头的办公套件来协调工作日程、分配任务和管理预算，所有沟通均使用英语进行。

一份2025年的周报文件揭示了该黑客团队的工作模式及面临的挑战。例如，有成员曾抱怨"无法理解工作要求，不知道该做什么"，而对应的解决方案竟然是"用心投入，加倍努力"。

团队的支出明细记录显示，他们的开销项目包括购买社会安全号码(SSN)、交易在线平台账号、租用电话号码、订阅AI服务、租赁电脑以及购买VPN/代理服务等。

一份详细的电子表格记录了以虚假身份"Henry Zhang"参加会议的时间安排和话术脚本。操作流程显示，这些朝鲜IT工作者会先购置在线平台账号，租用电脑设备，然后通过远程控制工具完成外包工作。

调查还发现了团队用于收发款项的一个钱包地址，该地址与2025年6月发生的68万美元协议攻击事件存在密切链上关联。事后证实，被攻击项目的CTO及其他开发人员均为持伪造证件的朝鲜IT工作者。通过这个地址，还识别出其他被渗透项目中的朝鲜IT人员。

团队成员的搜索记录和浏览器历史中发现了大量关键证据。有人可能会质疑如何确认他们来自朝鲜，除了上述提到的欺诈性文件外，他们的搜索历史还显示频繁使用在线翻译服务，并使用俄罗斯IP将内容翻译成韩语。

目前，企业在防范朝鲜IT工作者方面面临的主要挑战包括：

1. 系统性协作缺失：平台服务商与私营企业之间缺乏有效的信息共享与合作机制。
2. 雇佣方失察：用人团队在收到风险警示后往往表现出防御性态度，甚至拒绝配合调查。
3. 数量优势冲击：虽然其技术手段并不复杂，但凭借庞大的求职者基数持续渗透全球就业市场。
4. 资金转换渠道：一些支付平台被频繁用于将开发工作所得法币收入兑换为加密货币。

这次调查为业界提供了一个难得的机会，以主动视角揭露朝鲜黑客的"工作"方法，对于项目方进行事前安全布防具有重要意义。企业和个人都应该提高警惕，加强对潜在威胁的识别和防范能力。