最新的网络情报显示，朝鲜正通过招募自由职业者作为身份代理，以获取远程工作合同和银行账户，以支持其间谍和资金转移活动。

据研究，朝鲜的网络行动人员正在调整策略，利用各类线上平台，招募自由职业者作为身份代理人，以实现远程操控和资金转移。

他们会在Upwork、Freelancer、GitHub等平台上联系潜在求职者，之后将对话引导到Telegram或Discord上，指导对方安装远程访问软件（如AnyDesk或Chrome Remote Desktop），并进行身份验证。

过去的案例显示，朝鲜的工作人员曾伪造身份证件来获取远程工作机会。电信行业的网络威胁情报专家兼区块链安全研究员Heiner García指出，现在这些行动人员通过与已验证用户合作，由后者授权他人远程操作自己的电脑，从而规避相关审查和监控措施。

真正拥有身份的个人通常仅能获得其应得工资的五分之一，剩余部分会通过加密货币转账，或存入传统银行账户转交操作人员。利用真实身份和本地网络连接，可以规避对高风险地区和VPN的检测，从而持续操作。

朝鲜IT招募策略的深入变化

今年早些时候，García成立了一家虚拟加密公司，并与Cointelegraph合作采访了一名疑似来自朝鲜的技术岗位求职者。该应聘者声称自己是日本人，但在要求用日语自我介绍时突然停止了通话切断联系。

后来，García通过私信继续交流，发现对方要求他购买一台电脑，并协助设置远程访问权限。这一模式与之前遇到的类似，包括提供的虚假入职材料、招聘脚本以及“重复使用”的身份证明文件，均显示出这是一场系统性的操作。

García透露：

“他们安装AnyDesk或Chrome Remote Desktop，从受害者的设备上操控，平台显示的IP地址都是国内的。”

他补充说，出让自己电脑的人实际上是“受害者”。“他们并不知情，误以为自己是在正常的分包工作安排中。”

从调查的聊天记录来看，被招募者多数对“我们怎么赚钱？”这类基础问题表示疑惑，他们自己并不参与技术操作。实际上，他们主要负责账号验证、远程软件安装和保持设备在线，真正的操控者利用他们的身份去申请工作、与客户沟通，并交付成果。

大部分人都是在不知情的情况下成为受害者，但也有一些明显知道自己在参与某种非法操作的人存在。

例如，2024年8月，美国司法部逮捕了纳什维尔的Matthew Isaac Knoot，他管理一个“双重账户”项目，让朝鲜的IT工人冒充美国员工，通过盗取的身份信息接受任务并操作；而在亚利桑那州，Christina Marie Chapman则因运营类似的资金输送项目，被判刑超过8年，该项目已为朝鲜非法筹集超过1700万美元的资金。

针对弱势群体的招募策略揭秘

主要目标群体包括美国、欧洲以及部分亚洲地区的求职者，因为这些地区的账号容易获得高端岗位的认证权限且少受地域限制。此外，García还发现，经济较不稳定地区（如乌克兰和东南亚）的一些个人信息也被非法利用。

“他们特别针对低收入和弱势群体，”García指出，“我甚至看到他们试图联系残障人士。”

联合国方面报告称，朝鲜的网络和加密货币盗窃活动正为其导弹及武器项目提供资金来源。

García还发现，这种招募和操作方式已不限于加密领域。在一次调查中，一名朝鲜工作人员用盗取的美国身份信息，伪装成伊利诺伊州的建筑师，在Upwork上竞标建筑设计项目，最终向客户交付了成果。

尽管外界聚焦于加密货币洗钱的问题，但García指出，传统金融渠道也被滥用。这些代理模型使非法份子能以合法的身份接收银行汇款，大大增加追责难度。

“这不仅仅是关于加密货币，”García强调，“他们在做建筑、设计、客户支持等各种行业，只要能找到切入点。”

为何平台仍难以识别真正的求职者

虽然招聘方已逐渐警觉朝鲜操控人员的风险，但大多数情况下，只有在出现明显异常行为或被触发的警报后才会注意到。一旦账号被封禁，操控者会更换新身份继续作业，造成责任追溯极其困难。

调查显示，在一次某Upwork账号因异常频繁活动被冻结后，操控者指示被招募者让家人开设新账号，以保持工作的连续性。

这种不断切换身份的策略极大增加了追溯责任的难度。挂名开户的人多为被骗的无辜者，而操控者往往身处异国，难以追查，无论是对平台还是受害企业而言都极具隐蔽性。

这种操作方式的优点在于，看似所有证据、身份信息都是真实可信的，真实身份、本地网络远程连接形成的“伪象”。表面上所有条件都符合正规要求，但实际背后操控者完全不同。

García提醒：最明显的危险信号，是有人请求你安装远程访问软件或授权他人使用你的账号进行工作。正规招聘完全不会要求控制你的设备或个人信息。

相关报道指出，曾经拒绝比特币投资的北欧某些银行，正准备推出比特币（BTC）相关的ETF产品。