严打“数字佣兵”，美国刑事起诉8名中国公民

凌晨的波士顿郊区，FBI撬开一栋普通民宅，手电光束刺破黑暗，照亮诡异的一幕：20多台笔记本电脑整齐排列在货架上，指示灯幽幽闪烁，数据线如蛇群缠绕。其中一台光标移动，一封未写完的邮件正在更新——大洋彼岸的操纵者似乎仍在工作。

2025年6月30日，FBI会同美国司法部、国防刑事调查局，在16个州同步突击搜查29个“笔记本电脑农场”，查封29个洗钱账户和21个欺诈网站，并对参与协助的8名中国公民提起刑事指控。

美国这一系列重大执法行动，直指朝鲜通过远程IT工作渗透美国企业、非法筹集武器资金的跨国阴谋。一些“数字佣兵”因此落网，这8名中国公民中，包括6名大陆居民与2名台湾居民。

此前3月5日，美国司法部宣布，对12名中国公民被起诉，他们被控从事全球计算机入侵行动。其实，类似的诉讼层出不穷。

国家博弈的数字伪装术

王克佳推开沈阳某酒店会议室的门时，六名神色警惕的男子立刻停止交谈。2023年的这次密会，标志着朝鲜IT渗透计划的关键升级。

作为美国新泽西州的协调人，王克佳负责接收硅谷公司寄来的工作电脑，再通过KVM切换器将设备实时转接到朝鲜程序员手中。这些技术人员盗用“William D.”等80多个美国公民的身份，用AI生成的完美简历通过面试，甚至用变声软件应对电话核查。

当加州一家军用AI公司的安全系统警报响起时，调查人员发现名为“Christopher M.”的“员工”竟在三天内从新泽西、俄罗斯、中国三地登录——物理定律的打破暴露了这场精心编织的骗局。

资金的流动更具隐蔽性。马里兰州一名美甲店员工同时为13个朝鲜IT工作者代领工资，近百万美元薪酬汇入王振兴的空壳公司账户，再经阿联酋的加密钱包分层清洗。其中一笔91.5万美元的区块链公司盗款，最终变成平壤武器实验室的零件。

而微软追踪到的数据更触目惊心：2025年上半年，至少1658万美元通过类似渠道注入朝鲜，相当于每月有345-920个“幽灵岗位”在掏空欧美企业。

美国司法部在马萨诸塞州地区法院提起刑事诉讼，被起诉的被告包括8名中国公民：6名大陆公民（2-7）；2名台湾公民（8-9）。具体姓名如下：

根据长达50页的起诉书披露，自2021年至2024年10月间，该犯罪网络通过三层分工协作渗透美国企业：

——朝鲜IT工作者：在平壤政权支持下，使用伪造的美国身份（如盗用社保号、伪造学历证书）申请远程技术职位，主要瞄准区块链、金融科技及国防相关领域企业。

——中国籍协调者：王振兴、周宝玉等人接收美国公司配发的笔记本电脑，架设“硬件中转站”。他们使用KVM切换器将多台笔记本电脑接入同一设备，使朝鲜工作者能直接从中国沈阳、丹东等地远程操控。

——美国本土支持者：提供住址接收设备、开设银行账户转移资金，并帮助伪造工作记录规避审查。

这种“物理位置伪装”使朝鲜工作者成功渗透逾100家美国公司，尤其区块链行业成为重灾区。朝鲜员工常要求以加密货币支付工资，再通过NFT交易、跨链兑换等手段洗钱。

千万美金输血朝鲜武装

这项行动，暴露了朝鲜系统性的“以技养武”战略。

司法部确认，赃款通过Sim Hyon Sop（朝鲜外贸银行代表）及Kim Sang Man（朝鲜IT公司经营者），在迪拜、俄罗斯的账户分层清洗，最终输入朝鲜。2023年，仅Sim相关钱包就接收超2400万美元加密赃款。

参与协助并被起诉人员，至少获取500万美元工资收入，造成企业损失超300万美元，包含法律开支、网络修复等费用。

据联合国评估，朝鲜50%外汇收入来自网络犯罪，2022年盗取虚拟资产高达17亿美元。此次行动截获的加密货币与NFT资产，仅是冰山一角。

马萨诸塞州检察官Leah B. Foley警告：“数千名朝鲜特工已融入全球数字劳动力，美国企业正成为朝鲜武器计划的输血工具。”

美国司法部依据《国际紧急经济权力法》（IEEPA）及相关行政命令，对被告提出指控，认为其违反了美国对朝鲜的制裁令。

被告被控犯有多项罪行，包括共谋实施邮件欺诈和电汇欺诈、洗钱共谋、身份盗窃共谋，以及共谋违反IEEPA等。起诉书要求被告在被定罪后，根据相关法律条款，没收与犯罪有关的财产和资金。涉案人员面临严重的法律后果，包括长达20年监禁和巨额罚款。

2024年12月，美国已悬赏500万美元通缉这个团队的漏网成员。

地缘博弈中的科技暗战

7月3日，平壤外务省的声明充满火药味：“美国自导自演的司法闹剧，是对主权的严重侵犯！”

此前三天，美国司法部的起诉书刻意区分中国大陆与台湾被告，其中6名大陆人员并列指控，台湾两位被告刘孟婷、刘恩被单独编号（8-9）。

中国外交部发言人毛宁公开回应：“反对未经安理会授权的单边制裁”——这场以网络安全为名的行动，早已超越犯罪侦查范畴。

在国与国的博弈中，技术防御战已经白热化。微软威胁情报中心实验室内，AI模型正在解析朝鲜黑客的新武器：用Nim语言编写的macOS恶意软件“NimDoor”。当安全人员尝试终止可疑进程时，终止信号反而激活了更深层的后门程序。这些代码从伪造的Zoom更新包潜入，像毒藤般缠绕进系统内核，盗取着区块链公司的加密密钥58。

为切断供应链，微软一次性封禁3000个Outlook账户，其AI系统甚至能捕捉“不可能的时间旅行”——某个账户五分钟前在纽约登录，五分钟后却出现在平壤。

其实，本案对跨国就业者敲响警钟，尤其为避免掉入大国博弈的附加伤害或职业陷阱，技术从业者需提升三重防御：

一是身份合规，拒接“代持设备”“代收工资”类请求（如本案中在美协助者行为），此类操作已被定性为共谋犯罪。二是雇主尽调，警惕薪资支付异常（如要求加密货币结算）、拒绝提供劳动合同的雇主。三是数据警觉，远离需伪造地理位置、使用非实名账户的工作。

朝鲜的“数字佣兵”战略已成全球威胁——通过虚构的自由市场身份，每年从全球企业抽血数亿美元。而国与国博弈下的司法行动，往往伴随次级制裁风险，海外华人需清醒认知：当你在远程会议中听见变声软件轻微的电流杂音，或在转账时发现收款账户途经迪拜的虚拟货币交易所——这些细微的异常，可能正是数字时代大国博弈的炮火硝烟。

全球化的技术劳工市场，表面流动的是代码与薪资，深处却奔涌着制裁与反制的暗流。技术中立不抵政治铁幕，唯有坚守法律边界、强化身份合规，方能在动荡地缘中守护职业安全。㳒