据称,一名朝鲜特工嫌疑人试图冒充美国人工智能架构师,使用窃取的身份、可能是人工智能辅助的简历以及看似合法的 VoIP 电话号码,从而获得一份远程网络安全工作。这次尝试失败了,但该案例表明,随着威胁行为者将身份盗窃、简历定制和面试辅助工具结合在一起,远程招聘欺诈变得越来越难以发现。
尼索斯披露了此案在调查了一位自称居住在佛罗里达州棕榈滩花园的首席人工智能架构师职位的申请人之后。据该公司称,申请人使用的 IP 地址可能属于 Astrill VPN 网络,多名研究人员已将该服务与朝鲜远程工作者活动联系起来。
更广泛的威胁已经明确。FBI 称朝鲜 IT 工人使用虚假或被盗的身份、美国的协助者、运送的笔记本电脑、远程访问工具,甚至人工智能服务,在美国公司获得就业机会,并将资金转回政权,违反制裁规定。
申请人如何被标记
Nisos表示申请人的简历反映了职位描述的大部分内容,包括与代理人工智能工作相关的一长串技术技能和摘要语言。该公司得出的结论是,该文件可能来自人工智能聊天机器人或大量复制粘贴编辑,旨在击败招聘系统中的关键字过滤器。
调查人员还发现该应用程序上的电话号码很可能是 VoIP 号码。就其本身而言,这并不能证明欺诈,但尼索斯表示,诈骗者经常使用与他们声称居住地的区号相匹配的互联网号码。
采访引发了更多担忧。尼索斯表示,期间在 2025 年 6 月 24 日的一次虚拟面试中,申请人多次将目光从镜头上移开,当被问及从未袭击过佛罗里达州的假飓风时,他结结巴巴。答案模式表明他可能一直在等待脚本或聊天机器人的帮助。
多份简历,一名真实受害者
该公司表示,它发现了三个同名的独立简历账户,但其大学、雇主和佛罗里达州地点不同。所有这些似乎都与一个真实的人有关,据称该人的个人信息在他不知情的情况下被滥用。
这个细节很重要,因为此案符合更大的执法情况。 2025 年 6 月,美国司法部宣布与朝鲜远程 IT 工人计划相关的全国范围内的行动,称这些行为者在 16 个州使用伪造和被盗的身份、幌子公司、欺诈网站和笔记本电脑农场,其中一些人已经在 100 多家美国公司获得了工作机会。

美国财政部还在 2026 年 3 月警告称,这些海外 IT 人员使用伪造的人物角色、欺诈性文件和被盗身份来获取工作,然后产生收入来支持朝鲜的武器和导弹计划。
为什么此案对雇主很重要
这不仅仅是一个虚假简历的问题。这可能是针对网络安全公司的内部风险尝试,这表明即使是注重安全的雇主也可能面临准备充分的招聘欺诈。美国司法部表示,一些朝鲜工人窃取了敏感的雇主数据,并且至少在一个案例中窃取了价值超过 90 万美元的虚拟货币。

联邦调查局称美国的推动者有时,他们会收到公司笔记本电脑、设置远程访问、开设财务账户、创建工作现场资料,甚至代表真正的操作员参加面试。这意味着一家公司可以完成看似正常的远程招聘,而实际员工则在多层欺骗的背后隐藏在海外。
Nisos 表示,在这种情况下,公司发行的笔记本电脑后来与其他设备一起出现在壁橱中,通过 PiKVM 硬件进行远程控制,并通过 Tailscale 连接。这一细节支持了一个常见的执法警告:远程招聘欺诈不会以糟糕的面试或虚假简历而结束。它可以成为直接访问公司系统和数据的路径。

这种情况下的关键危险信号
- 简历语言与招聘信息密切相关。
- 申请人使用的可能是与所声称的美国位置相关的 VoIP 电话号码。
- 登录 IP 可能属于 Astrill VPN 网络。
- 三份简历显示了不同的学校、雇主和城市。
- 该候选人在现场视频面试中表现不佳,似乎依赖另一个屏幕。
- 设备的邮寄地址与简历地址不匹配。
- 据报道,该笔记本电脑最终被安装在多设备笔记本电脑农场中。
企业在远程招聘时应检查哪些内容
| 风险区域 | 这个案例中发生了什么 | 雇主应该做什么 |
|---|---|---|
| 身份 | 据称真实人物的详细信息被重复使用 | 交叉核对身份证件、地址、电话和公共记录 |
| 恢复 | 技能和总结反映了职位的情况 | 寻找与职位列表不自然的重叠 |
| 面试 | 候选人似乎依赖屏幕外的帮助 | 使用实时跟进问题和屏幕共享 |
| 联系方式 | 电话号码可能基于 VoIP | 验证运营商类型和所有权历史记录 |
| 地点 | VPN 链接的 IP 掩盖了真实来源 | 记录并审查 IP 声誉和地理模式 |
| 设备 | 据报道设备发货详细信息已更改 | 确认送货地址和收件人身份 |
| 准入风险 | 据称笔记本电脑最终被扔进了笔记本电脑农场 | 锁定远程访问并监控设备行为 |
FAQ
这是否被证实是朝鲜的行动?
Nisos 将申请人描述为可疑的朝鲜特工,并将该行为与已知的朝鲜 IT 工人策略联系起来。美国机构在官方警报和执法行动中单独记录了相同的更广泛的方法。
人工智能在这场骗局中发挥了作用吗?
尼索斯表示,这份简历很可能使用了人工智能辅助,因为它以一种异常直接的方式重复了职位描述语言和技能列表。该公司还怀疑面试期间有聊天机器人或脚本协助。
为什么朝鲜 IT 工人瞄准远程工作?
联邦调查局、司法部和财政部表示,这些计划为朝鲜政权创造收入、逃避制裁,还可能使受害公司面临盗窃、勒索和数据丢失的风险。
对雇主来说最大的教训是什么?
不要将招聘仅仅视为人力资源职能。对于远程职位,招聘也是一个安全检查点。身份检查、实时验证、设备控制和行为筛查现在与技术面试一样重要。
