自 2024 年 4 月以来,亚马逊已阻止 1,800 多名疑似朝鲜特工从事远程信息技术工作。该公司第二任高级副总裁兼首席安全官斯蒂芬·施密特 (Stephen Schmidt) 在一份报告中详细介绍了这一举措。 领英帖子 2025 年 12 月下旬。朝鲜国民在美国公司寻求这些职位,以便将工资用于该政权的武器计划。亚马逊采用人工智能筛查与人工验证相结合进行检测。施密特在他的帖子中表示,“自 2024 年 4 月以来,我们已经阻止了 1,800 多名可疑的朝鲜特工加入,今年我们发现的与朝鲜有关的申请比上季度增加了 27%。”这一增长反映出朝鲜民主主义人民共和国 (DPRK) 附属人员不断努力渗透亚马逊和其他公司的远程 IT 角色。鉴于其作为全球最大雇主之一的地位,该公司的系统可以大量处理申请。检测过程将人工智能模型与人工审核相结合。 Schmidt 解释说:“我们的检测将人工智能驱动的筛查与人工验证相结合。我们的人工智能模型分析了与近 200 个高风险机构的联系、跨应用程序的异常情况以及地理不一致。我们通过背景调查、凭证验证和结构化面试来验证身份。”这些步骤检查申请人网络、提交数据中的异常模式以及远程招聘过程中出现的地点差异。施密特强调了亚马逊面临这些威胁的规模。他写道:“作为全球最大雇主之一的首席安全官,我的团队看到了这些威胁的规模,其规模是很少有组织能够做到的。这使我们对这些运营的演变有独特的了解,并有责任分享我们所学到的知识。”这种观点源于处理大量的工作申请,允许识别较小实体不可见的模式。随着时间的推移,操作人员不断改进他们的方法。他们通过针对实际的软件工程师进行身份盗窃,这些工程师的专业档案具有可信度,而不是在线足迹有限的个人。这种转变提供了更有说服力的简历和历史,经得起初步审查。 LinkedIn 的策略变得越来越复杂。操作人员使用受损的凭据劫持休眠帐户,保留之前活动的验证徽章。网络存在于帐户所有者交换访问权限以换取付款的地方,从而进一步实现了假冒。这些方法利用了专为专业网络设计的平台功能。应用程序越来越关注人工智能和机器学习职位。随着企业采用人工智能技术,此类职位的需求量很大,可能会提供更高的薪酬,并且远程设置中的直接监督较少。服务商在美国经营“笔记本电脑农场”。这些站点接收设备运输并模拟国内存在,而操作人员则从国外远程控制设备。这种安排在招聘和入职期间保持了美国工作的外观。教育主张在战略上不断发展。模式显示,从东亚的大学转向没有所得税的州的机构,最近又转向加利福尼亚州和纽约州的学校。亚马逊审查会仔细审查非上市机构提供的课程的学位或与标准学术日历不一致的时间表。微妙的指标有助于检测。申请人将美国电话号码的格式设置为“+1”,而不是简单的“1”。这个细节本身并没有多大意义,但与其他信号结合起来可以形成可疑活动的概况。这些计划不仅限于亚马逊。 2025年6月,美国司法部发出警告。美国司法部 新闻稿 声明称,“司法部今天宣布对朝鲜民主主义人民共和国(DPRK)政府通过为美国公司提供远程信息技术(IT)工作为其政权提供资金的计划采取协调行动。”行动包括两项起诉书、一份信息和相关认罪协议、一项逮捕、搜查 16 个州的 29 个已知或可疑的笔记本电脑农场、扣押 29 个用于洗钱非法资金的金融账户以及 21 个欺诈网站。
