ZachXBT：在反向駭入北韓駭客設備後，我了解了他們的「工作模式」

作者：ZachXBT

編譯：Azuma，Daily Planet

編輯註：北韓駭客一直是加密貨幣市場的主要威脅。過去，受害者和行業安全專家只能通過逆向工程相關安全事件來推斷北韓駭客的行為模式。然而，昨天，知名鏈上偵探ZachXBT在最近的推文中引用了一位白帽駭客對北韓駭客進行反向駭入的調查和分析。這種主動分析首次揭示了北韓駭客的工作方法，可能為行業項目的預防性安全措施提供積極見解。

以下是ZachXBT的全文，由Odaily Planet Daily編譯。

一位匿名駭客最近入侵了一名北韓IT工作者的設備，揭示了一個五人技術團隊如何操作超過30個假身份，使用偽造的政府頒發的身份證和購買的Upwork和LinkedIn帳戶來滲透各種開發項目。

調查人員獲取了Google Drive數據、Chrome瀏覽器配置文件和設備截圖，這些資料顯示該團隊嚴重依賴Google工具來協調工作日程、分配任務和管理預算，所有通信均以英語進行。

2025年的一份週報揭示了駭客團隊的工作模式和他們遇到的困難。例如，一名成員抱怨"不理解工作要求，不知道該做什麼"，但相應的解決方案是"全身心投入並更加努力工作"。

詳細的費用記錄顯示，他們的支出項目包括購買社會安全號碼(SSNs)、Upwork和LinkedIn帳戶交易、租用電話號碼、訂閱AI服務、租用電腦以及購買VPN/代理服務。

一份電子表格詳細記錄了虛構人物"Henry Zhang"參加會議的日程和腳本。這個過程揭示了這些北韓IT工作者會先購買Upwork和LinkedIn帳戶，租用電腦設備，然後使用AnyDesk遠程控制工具完成外包工作。

他們用於發送和接收資金的錢包地址之一是：

0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;

這個地址與2025年6月發生的68萬美元Favrr協議攻擊密切相關。其CTO和其他開發人員後來被證實是持有偽造證件的北韓IT工作者。這個地址也被用來識別參與其他滲透項目的北韓IT人員。

團隊還在他們的搜索記錄和瀏覽器歷史中發現了以下關鍵證據。

有人可能會問："我們如何確定他們來自北韓？"除了上述所有偽造文件外，他們的搜索歷史還顯示他們經常使用Google翻譯，並使用俄羅斯IP將內容翻譯成韓語。

目前，企業在防範北韓IT工作者方面面臨的主要挑戰如下：

• 缺乏系統性合作：平台服務提供商與私營企業之間缺乏有效的信息共享和合作機制；
• 雇主監督不足：招聘團隊在收到風險警告後往往採取防禦態度，甚至拒絕配合調查；
• 數量優勢的影響：雖然其技術手段並不複雜，但憑藉龐大的求職者基礎，持續滲透全球就業市場；
• 資金轉換渠道：Payoneer等支付平台經常被用來將開發工作的法定貨幣收入轉換為加密貨幣；

我已多次介紹需要注意的指標。如果你有興趣，可以查看我的歷史推文。在此不再重複。