北京
2025年6月,一家美国网络安全公司收到一份Lead AI Architect(首席人工智能架构师)岗位的求职申请。简历漂亮,经验十年,佛罗里达本地。HR没注意到的是,这份材料背后藏着3个不同版本的"同一个人"——以及一个正在中国操作的朝鲜特工。
Nisos安全团队的调查报告显示,这是朝鲜国家支持的IT工人渗透计划的最新变体。自2023年初以来,这类行动已从"广撒网"升级为精准狙击,目标直指科技、情报、网络安全等敏感领域。薪资最终流向平壤的武器项目,而雇主往往在事发后才惊觉自己雇佣的是敌对国家特工。
一份简历,三套说辞
这名特工盗用了佛罗里达州一名真实居民的身份信息。此人曾居住于Palm Beach Gardens、West Palm Beach和Greenacres三地,完全不知道自己已成为三份不同简历的"主角"。
Nisos分析师发现,特工在多个平台注册了简历账户,每份都使用同一姓名和地址,但大学、雇主、工作地点各不相同。这种"碎片化身份"策略旨在规避单一平台的背景核查——当A平台的学历验证失败时,B平台的版本或许能蒙混过关。
更隐蔽的操作在于技术痕迹的伪装。特工使用的IP地址167.88.61.250和167.88.61.117均指向Astrill VPN匿名网络,这是朝鲜IT工人从中国境内操作时的典型工具。提供的电话号码850-308-4867经追溯为网络语音协议号码,区号与声称的佛罗里达住址匹配,实际却可由中国境内任意设备接听。
这种"地理伪装"的精细程度,足以让常规背调失效。HR看到本地号码、核对地址存在、视频面试画面正常——所有表面检查都通过,唯独没人追问:为什么候选人的网络延迟总是偏高?
面试环节的反侦察
Nisos的识别并非依赖技术扫描,而是人工设计的对话陷阱。分析师结合开源情报(OSINT)研究与定制化面试问题,在交流中发现应答模式异常——对本地技术社区细节含糊其辞,对"佛罗里达生活"的追问出现明显延迟,部分回答带有非母语者的句式特征。
这些信号单独看都不致命。但叠加VPN痕迹、VoIP号码、三份矛盾简历后,画像逐渐清晰:一个在中国境内、使用AI工具生成职业履历、试图以远程办公身份潜入美国关键基础设施的朝鲜国家代理人。
该案例的特殊性在于目标选择。网络安全公司本应是最难渗透的堡垒,却因其"技术自信"反而可能成为盲区——"我们的人能看穿任何攻击",这种心态让部分企业在招聘环节放松了警惕。
远程办公时代的信任危机
朝鲜IT工人计划的运作机制已相当成熟。特工入职后,通过远程访问工具控制公司发放的笔记本,从海外操作却显示为"本地登录"。标准IT安全团队很难识别这种"人在北京、IP在纽约"的时空错位。
一旦渗透成功,风险呈链式扩散:数据窃取、知识产权流失、监管处罚、声誉崩塌。2023年以来,美国司法部已多次起诉涉及此类计划的个人和中介公司,但刑事追责往往滞后于实际损害。
此次事件的受害者——那名佛罗里达居民——在Nisos协调下已由执法部门通知。但身份盗用的发现通常意味着信息已在暗网流通多年,后续诈骗、信用欺诈的风险远未结束。
对招聘方而言,传统的"查学历、打电话、看视频"三板斧显然不够用了。当AI可以生成以假乱真的项目经历,当VPN能完美模拟地理位置,背景调查需要升级为跨平台的身份一致性验证——比对不同时间、不同来源的同一"候选人"是否存在叙事冲突。
你的公司最近一次核实远程员工的物理位置,是什么时候?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
