朝鲜的“国营集团”将网络行动视为一种生存机制
快速阅读: 《Cyber Scoop 独家新闻》消息,报告称,朝鲜的网络行动类似于黑帮,其动机不仅是政治权力,还有生存和经济压力。研究揭示了其等级制度、人才管道及推动成员参与的因素,强调需重新审视招聘和威胁检测策略。
在过去几年里,网络安全专家越来越多地指出,国家行为者和网络犯罪分子常常模糊了地缘政治和经济动机之间的界限。然而,周三发布的一份新报告显示,朝鲜颠覆了这一观念。根据DTEX Systems发布的综合新报告,专家现在将朝鲜的全球网络行动比作黑手党集团,其战术和组织方式与其他国家行为者大相径庭。这项研究基于多年调查、技术分析以及与其他开源情报分析师的合作,揭示了一个高度适应性的政权,其网络能力建立在生存主义和利润驱动的方法之上。报告揭示了一种融合犯罪、间谍活动和一线IT工作的等级制度,由一个奖励忠诚和保密、惩罚失败的专制政府协调。
在过去一年中,随着许多网络安全公司揭露了这一计划的深度,对朝鲜目标的认识有所增加。Mandiant咨询公司的首席技术官查尔斯·卡马卡尔在2025年RSAC大会上告诉听众,朝鲜国民试图在每一家《财富》500强公司获得工作,其中“数百人”成功找到了远程工作。美国司法部和财政部分别发布了起诉书和制裁参与朝鲜利用远程工作与专业技术人员联系的努力的人和实体。
尽管DTEX的报告包含大量技术信息,但它也揭示了该国的网络等级制度、隐秘的人才管道以及推动该国人口成员加入该计划的动机。它列出了朝鲜“第227研究所”的细节,这是朝鲜的人工智能驱动的网络战单位,以及数百个操作员用来获得工作的电子邮件地址。“这与其说是典型的国家行为者,不如说更像一个全球分布、类似黑帮的网络,其动机不仅源于政治权力,还源于深陷经济困境和家庭责任的生存心态,”DTEX的高级i3内部风险调查员兼报告的主要作者迈克尔·巴纳特说。“我们的目标是揭示预测他们下一步行动的关键的人类和组织因素。”
北朝鲜网络行动的等级结构图。(DTEX提供)
报告中提到的两个角色包括“Naoki Murano”和“Jenson Collins”,研究人员称他们在老挝和俄罗斯等地工作,并与Chinyong IT合作公司有联系,该公司自2023年以来一直在美国制裁名单上。特别是Murano直接与针对DeltaPrime的600万美元加密货币平台抢劫案有关。DTEX将这些角色作为例子,说明朝鲜如何利用虚假身份来掩盖其复杂且常常僵化的组织结构。
报告详细介绍了为朝鲜政府不同部门工作的朝鲜IT工人的真实行政名单:隶属于国家弹药工业部(MID)的第313总局、朝鲜教育部以及国家主要情报机构侦察总局(RGB)。在这层组织之下,有一个明确的管理等级制度,反映了国家官僚体制和犯罪集团的某些元素。其他朝鲜黑客组织的许多原始成员,如Lazarus集团的成员,通过晋升成为管理者和团队领导,负责培训、监督和部署新的网络行动人员。新操作员根据政权不断变化的重点,在“传统”APT黑客团体、自由职业IT工作以及管理和顾问角色之间移动。知识和技术既正式分享,也通过家庭或学校网络分享。
内部争夺青睐、资源和晋升的竞争异常激烈,晋升往往更多依赖于家庭或政治关系而非技术技能。这个精心策划的职业和管理系统确保即使操作员轮换或改变专业领域,政权也能在其网络行动中保留机构记忆和运营连续性。
巴纳特告诉CyberScoop,虽然朝鲜主导的这一宏大计划可能在表面上类似于更发达国家的组织能力,但致力于建立一个专门从事网络犯罪的社会切片的做法是专家们前所未见的。“从表面上看,这看起来像是任何民族国家元素都会支持的网络项目。但社会这一部分我认为是关键,因为看到同样的结构以及朝鲜民主主义人民共和国(DPRK)具体如何使用它是独特之处,”他说。“比如,资金向上流动而不是向下流动的模式不会出现在组织结构图上,但可能是政府最奇怪的框架之一。不仅从这个角度来看如此,回顾过去他们运行的诸如90年代的假药和其他物理计划以产生收入的努力也是如此。他们在现代科技世界的这种技术手段比朝鲜过去的尝试要容易得多。”
该政权还通过设立第227研究所来保持其人才处于领先地位。与之前的朝鲜网络单位不同,这个由90人组成的中心全天候运作,不仅支持正在进行的网络攻击,还支持海外黑客团体收集的情报的快速实施。报告称,该中心专注于人工智能驱动的工具,从生成逼真的钓鱼文件和虚假身份到开发高度自动化的漏洞,用于广泛的目标。第227研究所还标志着该政权思维的一个更广泛的转变:在担心全球制裁可能会切断平壤与外国技术联系的情况下,认识到发展国内人工智能能力的必要性。
该中心的快速发展与配备AI的自杀无人机的公开推出以及在非网络行动中日益增加的AI集成相吻合,为朝鲜提供了威胁对手的新途径。即使在过去一年受到高度审查的情况下,DTEX的调查显示传统的执法和企业尽职调查往往无法找到这些操作员;许多公司并未意识到其员工或合同中有朝鲜人。
该公司还敦促安全领导者重新思考从招聘实践到远程入职再到技术威胁检测的一切。DTEX表示,除了技术措施外,行为上的危险信号包括断开的数字通信、反屏幕锁定软件和可疑的长时间工作。
“每个商业领袖和安全专业人士都需要认识到容纳远程工作者的风险,”Mandiant创始人兼DTEX顾问委员会成员凯文·曼迪亚说。“让公司信任其远程资源至关重要——尤其是在朝鲜利用这一机会为其武器项目融资的情况下。”
您可以在DTEX的网站上阅读完整报告。
(以上内容均由Ai生成)
