The Ghost Employee: Department 53 and the North Korean Remote Workforce

THE GHOST EMPLOYEE

Department 53 and the North Korean Remote Workforce

2024年7月15日,佛罗里达州克利尔沃特,9,055页 .m.m. 东方时间. 一个安全警报在监控系统内部发生了火灾

没有B4的, 一家网络安全培训公司,资金超过5000万 超过54,000个组织的用户. 警报标志着新增的异常活动.

提供工作站. 工作站在当天早些时候被送到 一个刚刚聘请的首席软件工程师. 他通过了四次视频采访.

他的引用已经检查出来. 他的背景调查已经清晰. 工程师25分钟进入了他的第一 转班.

他正在安装恶意软件在工作台上,交付 通过果皮连接到同一 网络. 他的照片是修改的股票图片.

人工智能. 他的名字属于一个真正的美国人. 没有见过. 他的实际物理位置是北内.

韩国或在中国东北部的边境. 这不是一个孤立的事件. 无四是一个教学组织的公司. 如何检测到这种威胁.

他们不是第一个目标. 他们不是百人之一. 这是一份关于劳动的案例文件 市场有一个内置的对手.

民主党的... 韩国民主人民共和国自从以来一直在 2011年,大约是 追求信息技术作为国家战略优先事项.

该指令源于金正恩的同意. 制裁将该政权从全球隔离 贸易,传统收入流量已经缩小. 网络操作,盗窃,间活动,欺诈已经扩大到

填补这个空白. 在这种情况下,特定的程序运行 由一个单位指定53. 为了证明这一点,韩国部门线

专家们 是的 2022年将从6800人增加到8400人 在2024年.

这种增长跟踪了远程工作的扩张. 疫情后的规范. 美国 政府估计,总体的年收入是

这这个 劳动力超过5亿美元. 单个运营商可以取高达300,000美元 每年,有时是通过持有

在不同美国公司担任多个同时职位. 大多数收入通过中国洗钱. 账户 然后返回平壤.

它直接资助政权,包括根据的规定. 美国 财政部的指定,其大规模杀伤性武器计划. 联邦调查局将这种计划归类为

作为一个 积极的国家安全威胁. 它自19世纪以来一直在规模上运营. 至少在2018年.

机械学将在六个阶段进行. 第一个阶段. 身份制造. 运营商获得了一个的个人信息.

是真正的美国公民,是真正的美国公民. 通常通过在网上可用的身份盗窃道. 黑暗网络. 法律名称. 完整的法律名称.

社交安全号码. 出生日期. 雇佣历史. 在一项联邦案件中,单一的操作被破坏

超过80人的身份 美国人. 然后,操作员建立了一个专业身份 盗窃的顶部.

一个虚假信息的LinkedIn个人资料. 一个伪造的职业历史. 一个 GitHub 帐户,有代码,经常被 剪除或克隆.

一张可通过的照片,经常是股票图片,编辑 通过生成AI来实现 反向图像搜索失败了. 第二阶段.

应用程序. 运营商适用于仅远程位置,通常 软件工程,软件工程, 前端开发,或是全堆角色.

一些申请通过人事机构进行调度. 有些直接. 第三阶段. 面试.

大多数美国雇主都会为远程工作者进行视频采访. 位置. 运营商带着开放的相机出席. 预先练习的反应.

在更复杂的情况下,面部替代技术是 用于绘制合成或现场图 实时地将图像放到操作员的脸上. 据网络安全公司SentinelOne所说,大约有1

接到的就业申请量为10万. 近年来,该公司一直在受到联系. 据疑,正常化已经发生. 该公司自以来一直在业务中.

它的存在的开始. 根据Mandiant的说法,一个一直在的公司. 是对的重要信息来源. 根据Mandiant的说法,现在是谷歌的单位

云,几乎每个财富500强的首要信息 面试这个问题的安全官员承认了 他们公司的公司有, 无论是知觉还是不知觉,至少雇佣了一个.

第4阶段. 货物运输. 在租后,公司发行了笔记本电脑,通常是 一个MacBook.

运营商提供了美国航运地址. 总是不是所谓的住所. 公司的客户通常是相同的. 它们是便利商的家园或商业地点.

这里是笔记本电脑农场. 笔记本电脑农场是这项行动的物理. 一个典型的设施是住宅或小. 商业空间,在美国某个地方

经营由一个促进者,通常是美国国家. 有时是公民,有时是薪酬,有时是公民 只有部分意识到整个结构. 在内部,有数十台雇主发行的笔记本电脑连接

转移到一个单一的本地网络. 每个笔记本电脑都有一个独立的网络. 每台笔记本电脑都配置为持续远程访问. 运营商,在朝鲜或在其他地区的运营商,身体上都在朝鲜.

在中国边境,通过VPN连接 商业或远程桌面软件将其放入笔记本电脑 在农场. 从雇主的角度来看,员工的会议起源于

从美国住宅IP 在美国商业时间,在公司地址上 - 发行设备. 所有的电路测量都是干净的.

第五阶段. 促进者. 便利商的作用是提供服务. 它是结构性的.

接收货物. 电动设备. 处理偶尔的现场IT任务. 通过公司进行工资检查,将其转移到控制账户中.

联合阴谋者 在国外. 2026年4月,马萨诸塞州联邦法院将对此提出诉讼. 两名新泽西州居民,卡贾,被判处死刑.

和兴,没有关系,到九 七年半的时间和七年半的时间. 监狱, 它们分别是.

这两人被判处四年监禁. 监狱. 法院的法庭将定下卡贾的判决 和兴通被判处9岁,

七七七七 在卡贾亚被判处监禁期间,他将被判处年刑 从10年到8年半 在几年内

监狱. 卡贾和兴住在. 南洛杉矶的变化宽度. 卡贾正在调节,独自生活,做强.

知道他是个罪犯,他一直保持 科尔与UO的同行沟通. 已经有几十人了. 当涉及到翻译时,没有什么重要,

他们比玉海尔年轻10岁. 首次亮相最有趣的部分是 据说船长斯坦特为Tetra工作. 他花了时间做头发,今天是

想到梅塞尔,在他的中写游戏. 有头发的 个人价值观. 她的运营影响了300多家美国公司.

通过道向朝鲜输送了超过1700万美元. 她承认有罪,并获得了刑期. 102个月. 查普曼的行动危及了他的个人身份.

至少有60名美国人. 她的房子三年来被连接到 光纤将用于核武计划的 世界的另一边.

返回克利尔沃特. 返回25分钟的窗口. 没有B-4的安全运营中心,被警告. 通过自动检测,接触到新员工

询问异常活动. 员工回答说,他正在跟踪一个 路由器故障解决指南,可能是导致的 一个虚假的报警.

没有B-4的安全团队要求一个现场 电话. 员工说他无法获得. 很快,他就变得不愿意回应.

在晚上10点020分 东方时间,他的工作站被封闭. 无B-4在1914年公开了事件. 这是一篇由其首席编辑撰写的详细博客文章.

执行官,斯图·施欧尔曼. 这篇文章描述了采取的具体技术行动 由操作员. 他使用果皮下载了

恶意软件. 恶意软件是信息盗窃者. 它的目标是在浏览器中留下的凭证数据 笔记本电脑的前期,剩余的身份验证代币

提供. 运营商的意图是收获剩下的 在机器完全起之前,它就在机器上起了作用. 得到了保障.

没有任何客户数据被曝光. 在获得更广泛的访问之前,该操作员被终止. 但运营商已经清除了所有预雇 背景检查现象类型,身份验证,四个视频

采访了四个不同团队成员. 他们都曾与一位曾经认识过的人交谈过. 没有存在. 美国司法部已经做出了,如

这首录音,至少有四个主要的解密. 关于该计划的指控. 超过29家笔记本电脑农场已被搜查 在16个州.

联邦调查局在5月份发布了公开建议. 2022,2023年10月,2024年5月. 执法压力并没有导致这次行动 合同.

一位B-4号研究人员比较了 从经济学到毒品交易. 对于每一个被捕的便利人,已经有两个提供 为了取代它们.

美国的联合阴谋者供应量是 增加. 无论是经济动机还是部分欺骗,都超越了检察 通过度.

结构性原因是劳动力市场的不对称性. 远程招聘是一项全球性,异步的过程. 在大多数美国公司的身份验证仍然是一个问题. 家庭,同步的家庭.

盗窃的社会保障号码将通过一个 通过自动信用检查. 购买的LinkedIn支持看起来与购买的LinkedIn认证相同. 一个有机的.

一台运往美国的笔记本电脑 邮政代码作为笔记本电脑呈现在 美国. 运营商并没有击败这些系统.

它们通过它们,就像设计的那样. 他们中的许多人也做了这个工作. 大部分朝鲜运营商提供了 合法软件工程工作.

他们的美国雇主得到了功能代码,满足了最后期限, 并且可以接受的表现评价. 除工资是整个过程. 当数据被泄露时,它是的.

一种二次收获. 这是一个无法公众回答的问题. 信息是多少运营商仍然在内部工作 目前,美国公司.

曼迪安特的评估显示,几乎每个财富500强的首席执行官都 信息安全官员承认至少 一个已知案例建立了一个层,而不是一个. 顶层.

已被录取的病例是被检测到的病例. 没有发现的案件,根据定义,仍然存在于工资表 系统. 没有加密可以击败这种攻击.

没有网络细分将它关闭. 没有防火墙识别了合法雇员的员工 雇佣了. 防卫表面是人力资源.

案例文件仍然是开放的. 截至2026年4月,两大最的 最近被指控的便利商正在州联邦刑期. 马萨诸塞州.

另外9个人连接到同一项行动 保持自由. 美国 国务院正在提供500万美元的奖励.

为了获取导致逮捕的信息,这些人 仍在监狱外. 阳53号部门继续运营. 零片将跟踪案件文件.

下次美国公司发布一个 远程软件工程角色,大约是每一个中的一个. 千份申请将被报告. 辩护的问题不是一个

组织将会遇到这种操作. 问题是,组织是否会注意到.