一份由网络安全公司CrowdStrike发布的最新报告,揭示了一个令人不安的趋势:过去一年,美国科技企业记录的“手动键盘入侵”事件中,有将近一半被指向了朝鲜黑客。这些攻击者不再只是躲在暗处扫描漏洞,他们直接伪装成求职的远程IT员工,走进公司的内部系统。

这份覆盖2025年4月至2026年5月的年度网络安全态势报告指出,被CrowdStrike内部命名为“著名千里马”的朝鲜黑客组织,占到了同期科技行业所有国家支持型攻击活动的47%。这些行动被视为服务于金正恩政权,其目的明确——窃取信息和加密货币,为遭到国际法禁止的朝鲜核武器计划输送资金。

打开网易新闻 查看精彩图片

“手动键盘入侵”是CrowdStrike重点跟踪的一类活动。与那些能被常规安全工具捕获的自动化恶意软件不同,这类入侵背后是真实的人类黑客,他们进行操作时更加隐蔽、更善于规避检测。攻击链条通常以被盗的密码或凭证为起点,随后,黑客会滥用目标系统中已有的合法工具,逐步建立起长期的持久访问权限。

“著名千里马”最显著的策略是身份伪造。其组织成员假装成开发者、程序员或IT人员,使用虚假身份向美国、欧洲和亚洲的科技公司申请远程职位。为了骗过面试与背景审查,他们会动用人工智能实时生成深度伪造的人脸图像,并配合盗取的护照、驾照等欺诈性身份证件,将自己包装成美国或其他国家公民。这种精心伪装背后,是朝鲜因持续开发核武器而承受的西方及联合国严厉制裁——受限的身份使得他们难以通过正常途径获取资金与情报。

一旦成功渗透,这些冒牌员工不仅会窃取知识产权和敏感商业信息,还能从受雇公司赚取合法薪水,而这些钱最终会流向朝鲜政权。更糟糕的是,被盗数据常常被当作勒索的筹码。当这些潜伏者的行为暴露后,他们往往会威胁把窃取的内部资料公之于众,除非公司支付赎金。通过这种模式,黑客将单一的技术入侵,演变成了持续的情报窃取和直接的经济犯罪。

此外,加密货币是朝鲜的另一个关键目标。黑客会专门盯上区块链领域的开发者,试图盗取大量加密资产。在难以接入西方银行体系的情况下,金氏政权将这些数字资产用作绕过制裁的金融通道。多年以来,朝鲜通过此类网络攻击攫取了数十亿美元加密币,仅2025年一年,这个数字就达到了约20亿美元。