北韓「千里馬」如何利用 AI 深度偽造騙取科技職位，竊取 20 億美元

AI 工業化的求職騙局

Famous Chollima 的核心手法既精密又簡單得令人不安：先拿到那份工作。這個組織至少從 2018 年就開始活動，專門以偽造身分獲取自由接案或全職的遠端開發工作 。

真正的變化在於，他們將求職詐騙徹底工業化了。CrowdStrike 的《2025 威脅追蹤報告》描述了一幅清晰圖像：北韓特工將生成式 AI 工具「深度交織在雇用與受雇流程的每一個環節，達到自動化與最佳化」。

他們具體如何執行？根據 CrowdStrike 的紀錄，手段包括：

• AI 深度偽造視訊與音訊面試。 特工在即時視訊面試中使用 OpenAI 的 ChatGPT 與 Google 的 Gemini 等工具，一邊竄改聲音與影像，一邊即時生成專業的技術問答 。
• 從無到有打造專業假人設。 他們使用 AI 生成頭像，在 LinkedIn 上建立幾可亂真的檔案，搭配偽造的工作經歷與履歷，順利通過背景查核 。
• 真實的竊取身分文件。 特工利用竊得的美國社會安全碼（Social Security numbers）等真實身分文件，進一步強化背景審查的合法性幻象 。

CrowdStrike 旗下的 OverWatch 威脅獵捕團隊在過去 12 個月內調查了超過 320 起 Famous Chollima 特工成功滲透企業的案例，年增幅高達 220% 。CrowdStrike 反制敵方行動負責人 Adam Meyers 透露，他的團隊目前幾乎每天都要處理一起此類案件 。

雙重資金命脈

對於受到國際制裁的北韓政權而言，這套模式創造了兩條資金命脈。

第一條命脈是直接的薪資竊取。被滲透的企業按月支付薪水給這些「員工」，款項則流向平壤。第二條——對受害企業傷害更深——是智慧財產權竊取。一旦以正當憑證進入內部網路，特工便開始竊取專有原始碼、營業秘密與其他敏感資訊 。

與此同時，更龐大的北韓網路生態系正在進行規模空前的加密貨幣竊盜行動。根據 CrowdStrike 的《2026 金融服務威脅態勢報告》，與北韓有關聯的駭客組織在 2025 年共竊取 20.2 億美元數位資產，比前一年暴增 51% 。其中最大一筆案件來自關聯組織「PRESSURE CHOLLIMA」，他們透過供應鏈攻擊挾帶木馬化軟體，單次就盜走 14.6 億美元的加密貨幣 。

這些資金的最終去處非常明確。報告指出，竊得的數十億美元「幾乎肯定會經過洗錢，用於支持該政權的軍事與核武計畫」。

不只滲透，更拿資料當勒索籌碼

雖然 Famous Chollima 的公開報導多半聚焦於滲透與竊取，但數據外洩背後還有另一層獲利可能。更廣泛的北韓網路作戰已經將「數據盜竊勒索」納入戰術——威脅若不支付贖金，就公開竊得的敏感資料。

CrowdStrike 先前的全球威脅報告追蹤到，在專屬資料外洩網站上被點名的受害者數量增加了 76%，數據盜竊勒索已成為許多攻擊組織偏好的變現手段 。報告指出，北韓相關的行為者已被觀察到在未部署勒索軟體的情況下，執行數據盜竊與勒索行動，透過威脅外洩敏感資料來施加壓力 。

CrowdStrike 也確認，在涉及 Famous Chollima 的資安服務案件中，有 50% 確認發生數據外洩 。這些外洩的資訊可被用來進行勒索，只是公開的報告摘要更側重於該組織的內部滲透與薪資及加密貨幣竊取管道。Famous Chollima 在被偵測後的完整勒索劇本細節，可能只存在於未經刪節的完整威脅報告中，而非目前可取得的公開版本。

這場結合 AI 深度偽造、身分詐欺與國家級資源的滲透行動，代表的是一種全新模式的網路威脅。它讓攻擊者不再需要從外部攻破城牆，而是直接拿著錄取通知書，走進大門，坐進辦公室，成為最危險的「自己人」。