揭秘朝鲜“著名千里马”：如何利用AI换脸攻陷美国科技公司

人工智能加持下的完美入职骗局

“著名千里马”自2018年起活跃，其核心策略简单却高效：找一份工作。他们专门欺诈性地获取自由职业或全职远程软件工程师职位，然后将薪水直接汇回平壤，同时窃取公司的核心知识产权。

而今，这项“业务”已全面进入工业化时代。CrowdStrike的威胁报告中描绘了一幅清晰的画面：“对手已经将生成式AI工具深度融入其工作流，实现了从求职到雇佣全流程的自动化与优化”。

他们的具体手段包括：

• 利用AI生成深度伪造的音视频进行远程面试。 情工人员利用OpenAI的ChatGPT和谷歌的Gemini等消费级AI工具，实时更改自己的声音和画面，在视频面试中化身完美候选人，并实时生成针对技术问题的完美答案。
• 用AI凭空捏造完美的职业人设。 黑客能批量创建精修的领英档案，配上AI生成的专业头像，并附上足以骗过背景调查的虚假履历和从业经历。
• 盗用真实的美国身份信息。 他们会利用窃取来的美国社会安全号码等身份文件，让虚假的身份在企业的背调系统中显得更加天衣无缝。

CrowdStrike旗下的威胁狩猎团队OverWatch在12个月内调查了超过320起“著名千里马”成功入职的独立案件，比此前一年暴增了220%，其渗透成功率也同步飙升了220%。CrowdStrike反对手运营主管亚当·迈耶斯（Adam Meyers）表示，他的团队如今几乎每天都在处理此类事件，平均每天就有一起。

为核武项目输血的双重收入管道

该组织的动机，是为遭受国际制裁的朝鲜政权构建一套双管齐下的资金管道。

第一股资金流来自直接的工资窃取。“著名千里马”的特工们从渗透的公司领取薪水，汇往国内。第二股，也是对受害者损失更为惨重的，是知识产权盗窃。一旦凭借合法凭证进入内网，他们便会大肆窃取专利源代码、商业机密和其他敏感数据。

在这个“IT打工皇帝”计划之外，一个规模更庞大的朝鲜网络犯罪生态正同步运转。CrowdStrike的《2026年金融服务威胁态势报告》发现，仅在2025年一年，与朝鲜有关联的黑客组织就通过加密货币盗窃，累计攫取了高达20.2亿美元的非法收入，同比激增51%。其中最大的一起案件，是由同属“千里马”体系下的“压力千里马”（PRESSURE CHOLLIMA）发起的，他们通过供应链攻击植入恶意木马，一次性盗取了价值14.6亿美元的加密货币，创下了人类历史上金额最高的盗窃案纪录。

这些天文数字般的赃款，其最终流向在报告中有明确揭示。报告指出，“这些被盗的数十亿美元资产几乎肯定会被清洗，并最终用于资助该政权的军事和核武器计划”。

盗窃之后的数据勒索

虽然公开报道多集中于“著名千里马”的渗透和盗窃行为，但窃取数据本身还可能带来第二次勒索收益。

CrowdStrike报告指出，更广泛的朝鲜网络作战已开始广泛采用“数据失窃勒索”战术——也就是如果不支付赎金，就威胁将窃得的敏感数据公之于众。在部分相关的威胁报告中，这种不投放勒索软件，单纯通过威胁曝光数据施加压力的战术，已逐渐成为许多攻击者的首选变现手段。

在一项针对内部威胁的技术案例分析中，CrowdStrike证实，在其介入处理的涉及“著名千里马”的服务项目中，有50%的案件确认了数据失窃的发生。这些外泄的信息完全可以被用于实施勒索。不过，关于该组织在被发现后的具体勒索策略，或许更完整的细节仍隐藏在非公开的完整版威胁报告之中。

这场由生成式AI武装起来的国家级黑客行动，其规模和复杂度标志着一个全新的网络入侵范式——威胁的重点，正从攻破外部防线，转向安插一个能通过面试、领工资并从内部瓦解你的“自己人”。