網絡安全巨頭CrowdStrike爆料：北韓「千里馬」組織靠AI見工 攻陷美國科技界近半入侵案

CrowdStrike嘅威脅獵人團隊OverWatch，喺過去12個月入面調查咗超過320宗「著名千里馬」成員用假身份呃到工嘅獨立案件，比起對上一年同期激增咗220% 。CrowdStrike反網絡攻擊行動主管Adam Meyers話，佢哋團隊而家差唔多「每日都處理一單呢類案件」 。

靠AI見工嘅戲法

「著名千里馬」自2018年開始活躍，佢哋最拿手嘅就係申請做遠端軟件開發員，一係做自由工作者，一係就呃份全職合約 。

成個詐騙流程已經全面「工業化」。CrowdStrike嘅《2025年威脅獵人報告》清楚描述咗，呢個對手「深度整合咗GenAI驅動嘅工具，喺請人同打工流程嘅每一個階段，都用AI自動化同優化咗操作」 。

報告記錄嘅具體招數包括：

• AI生成嘅Deepfake視像同語音見工：黑客喺遙距面試期間，會用OpenAI嘅ChatGPT同Google嘅Gemini等消費級AI工具，即時修改自己嘅樣同把聲，仲可以用AI生成睇落好專業嘅技術答案 。
• 全虛構嘅專業人設：佢哋會用AI生成嘅大頭相，開一個睇落好靚仔嘅LinkedIn檔案，入面有齊令人信服嘅工作經驗同假履歷，足以呃過背景審查 。
• 真實嘅被盜身份證明：為咗加深「合法性」，佢哋會用偷返嚟嘅美國社會安全號碼（SSN）同其他身份證明文件，去過公司嘅背景篩查系統 。

呢種「AI喬裝術」成效極高，CrowdStrike統計到佢哋成功呃到工嘅比率，都一樣飆升咗220% 。

佢哋為咗咩？雙重掠水管道

對於一個受國際制裁嘅政權嚟講，呢個計劃係一條雙重收入嘅財路。

第一條水路係直接偷薪水。「著名千里馬」派出去嘅人會喺滲透嘅公司出糧，然後將啲人工滙返去北韓。第二條水路對受害公司嚟講仲傷，就係偷知識產權。一旦佢哋用合法身份入咗公司內部網絡，就會開始偷原始碼、商業機密同其他敏感資料 。

同時間，更大嘅北韓網絡犯罪生態系統亦都密密手偷加密貨幣。CrowdStrike嘅《2026年金融服務威脅形勢報告》發現，北韓相關嘅組織喺2025年夾埋偷咗成20.2億美元嘅數碼資產，比起對上一年增加咗51% 。最大嗰單係另一個叫「PRESSURE CHOLLIMA」嘅組織，透過供應鏈拆解植入木馬軟件，一鋪就偷咗14.6億美元加密貨幣 。

偷返嚟嘅錢最終去咗邊，報告亦都好坦白咁指出：呢啲被盜嘅數十億美元，「幾乎肯定會被洗白，用嚟資助平壤政權嘅軍事同核武計劃」 。

偷完資料仲有後著：數據勒索

「著名千里馬」除咗偷嘢同呃人工，偷返嚟嘅敏感數據仲有另一個潛在用途：勒索。北韓嘅網絡作戰策略，已經採用咗「數據盜竊勒索」呢一招——即係威脅將偷到手嘅機密資料外洩，除非受害人肯畀贖金。

CrowdStrike較早前嘅《全球威脅報告》追蹤到，被列入專用洩密網站嘅受害者數目增加咗76%，因為數據勒索已經成為好多黑客組織嘅首選賺錢方法 。報告亦都確認，北韓相關嘅黑客曾經被發現在唔使用勒索軟件嘅情況下，透過威脅暴露敏感數據嚟向受害人施壓 。

針對「著名千里馬」嘅服務案件入面，CrowdStrike證實有50%嘅案例確實發生咗數據被盜嘅情況 。呢啲外洩嘅資料好大機會可以用嚟做勒索，不過公開嘅報告摘要暫時將重點放喺佢哋嘅內部滲透同「呃人工加偷加密幣」嘅操作上。至於佢哋被發現後嘅詳細勒索程序，可能要去到完整、未經刪節嘅威脅報告先有得睇。

呢場行動嘅規模同複雜程度，象徵住國家級網絡入侵進入咗一個新時代——威脅已經由外部攻擊，轉移到我哋信賴嘅「自己人」身上。佢哋會見工、會出糧，然後由內部將你間公司食乾食淨。