朝鮮通過承接美國遠程IT工作滲透美國——彭博社

Evan Ratliff

2025-07-25

插圖：Hokyoung Kim為《彭博商業週刊》繪製

2020年，當克里斯蒂娜·瑪麗·查普曼第一次誤打誤撞捲入一場國際陰謀時，她正試圖扭轉自己的人生。當時她住在明尼蘇達州布魯克帕克小鎮，棲身於母親名下農地上的一輛破舊旅行拖車裏。成年後的查普曼曾輾轉德克薩斯州、英格蘭和科羅拉多州，在大賣場、快餐連鎖店、賭場和抵押貸款經紀公司打零工——“沒有一份是我童年夢想的工作”，她回憶道。

這位前海軍陸戰隊軍人的女兒和會計師母親的女兒出生在父親駐軍的韓國，在 formative years 前輾轉多地，最終在距離布魯克帕克十幾英里的松樹城長大。如今44歲的她回到家鄉重新開始。她貸款參加編程訓練營，希望能擺脱沒有前途的工作泥潭。在花費五個月時間和數千美元完成課程後，她創建了領英個人資料來展示新技能。職業：軟件工程師。

就在那年二月，她在領英上收到一位自稱"中華"的男子發來的未請自來的消息。他説自己就職於一家中國軟件公司，該公司致力於為海外工作者匹配美國工作崗位。（查普曼回憶，公司名稱是用漢字寫的。）中華告訴她，他們需要一名美國代表作為工作者與僱主之間的中介。“他説他們看了我的項目經歷和教育背景，“她説，認為她是這份工作的完美人選。中華告訴她，他們想讓她成為"公司的門面”。

對查普曼來説，這就像有人掀開了她大半生被困在下面的那塊石頭。“我以為我終於找到了一份夢想中的工作，“她説，“就像他們在我身上看到了我自己沒有意識到的東西。”

隨着新冠疫情在隨後幾周內導致全國封鎖，鍾華提出了一個測試項目：為德克薩斯州的一家屋頂和圍欄公司建立一個網站。“我們必須通過一些事情來學會信任彼此，“他告訴查普曼。他會信任她不會搶走他公司的工作。而她則要相信錢會先付給他，然後他會把她的費用轉給她。

這項工作很成功，她也拿到了報酬。然後鍾華幾個月都沒有消息，直到2020年底，查普曼説她收到了一個裝有筆記本電腦的盒子。第二天，她收到了一個自稱與鍾華共事的人發來的Skype消息。“他們説，‘好的，你現在要做的就是：你要為我設置這台電腦，這樣我就可以訪問它並工作，’“她回憶道。很快，更多的筆記本電腦送到了。鍾華重新聯繫了她，並告訴她，她每託管一台電腦，每月就能得到300美元。她夢想中的工作已經送上門，至少看起來是這樣。

然而，這將被證明是一場漫長噩夢的開始。鍾華的公司根本就不是一家公司，而是朝鮮政府特工的一個幌子，他們利用這些筆記本電腦為毫不知情的美國企業從事遠程IT工作。而他看中她的承諾並不是作為一名軟件工程師。而是作為一個"筆記本電腦農場主”——一個為朝鮮IT工作者提供地理掩護的美國人，讓他們看起來像是在美國本土工作的美國人。據聯合國估計，這些非法遠程工作者的工資每年為該政權帶來2.5億至6億美元的收入，其中大部分直接流入其火箭計劃。

“美國企業正無意間與那些為朝鮮軍火工業效力的個人合作，”華盛頓特區臨時檢察官珍妮·皮羅表示，“這是一個極其令人不安的問題，給美國製造了危險地帶。”

由於武器計劃，朝鮮民主主義人民共和國近二十年來一直遭受嚴厲制裁，實際上禁止了美國人與該國或其公民進行商業往來。然而，朝鮮的極權政府已展現出規避制裁的創造力，主要手段是模仿有組織犯罪的商業模式。2000年代，朝鮮在本土建立冰毒實驗室，將毒品販運至海外。2010年代，金正恩接替其已故父親金正日成為最高領導人後，其政權將業務擴展至網絡犯罪。2014年，朝鮮黑客攻擊了索尼影視娛樂公司，隨後轉向更有利可圖的行動，例如2016年試圖從孟加拉國一家銀行的數字金庫中竊取10億美元。（在該案例中，黑客將約8100萬美元轉回朝鮮。）

到2020年代，加密貨幣開闢了一條重要的新收入來源。儘管朝鮮的國內生產總值據信每年不足300億美元，但其國家支持的黑客在2017年至2023年間估計竊取了約30億美元的加密貨幣。而且收益似乎還在增長。今年2月，美國聯邦調查局認定朝鮮對Bybit交易所的黑客攻擊負責，該攻擊在一天內竊取了價值15億美元的以太坊。

除了這些令人震驚的網絡犯罪外，朝鮮特工還通過一種極為平凡的方式斂聚鉅額財富：在美國等國家獲取遠程IT工作機會並實際完成工作。根據聯合國去年估算，此類工作者多達4000人，其中約四分之一常駐朝鮮境外。美國聯邦調查局、國務院和財政部在2022年聯合公告中指出，大多數IT員工"隸屬於直接參與朝鮮被聯合國禁止的大規模殺傷性武器及彈道導彈計劃的實體機構併為其工作”。

這些數字背後隱藏着無數職場軼事——朝鮮人模仿西方居家辦公文化，以美國中介為掩護的案例層出不窮。這些極端遠程工作者以合同程序員、平面設計師、服務器管理員和數據庫管理員身份進入美國勞動力市場。他們的僱主涵蓋從初創企業到跨國公司的數百家毫無察覺的企業，橫跨各行各業。“他們既會接《財富》500強公司的單子，“網絡安全公司DTEX的國家級首席調查員邁克爾·巴恩哈特表示，“也會為夫妻店設計貼紙。他們在求職平台上表態'50美元我就接’，簡直來者不拒。“追蹤此類騙局的安全研究人員和執法者中有條鐵律：過去幾年若僱傭過IT合同工，美國公司很可能僱過朝鮮人。

該計劃日益涉及一種工業間諜活動，因為工人們還會悄悄竊取敏感數據。加密貨幣公司尤其成為豐厚目標。有時工人們會轉向敲詐勒索，威脅如果不支付贖金就泄露敏感機密。但安全研究人員發現，大多數工人只是通過努力完成普通工作並領取工資來為朝鮮政府籌集資金。無論是否平淡無奇，該計劃都需要穩定的企業目標供應。巴恩哈特表示，一些僱主在發現自己成為目標時比其他僱主更感到震驚。“我認為我們遇到一些客户時最大的問題是他們説，‘誰在乎？’“他説。“我們見過這樣的情況，他們就像在説，‘我們真的必須解僱他們嗎？你確定他們是朝鮮人嗎？因為這傢伙很優秀。’”

在今年春天接受彭博商業週刊採訪時，查普曼詳細描述了她幫助朝鮮人從當局認為總計數百家美國公司領取支票的路徑。她説她從未懷疑過他們的真實忠誠，即使她開始擔心自己已經進入法律灰色地帶；當局表示，她知道的足夠多，足以理解她所做的是違法的。至關重要的是，這種計劃需要一個像查普曼這樣的美國"協助者"網絡，無論是有意還是無意，來幫助工人們創建和部署虛假身份以維持有酬就業。當騙局被發現時，往往是這些人承擔後果。

查普曼。攝影師：Ash Ponders為《彭博商業週刊》拍攝每當收到筆記本電腦，查普曼會先將其啓動並運行，然後安裝中華同事們偏好的任何一款現成遠程控制軟件。這些程序，如Zoom或AnyDesk，使得代理們能夠在保持美國IP地址的同時，從任何地方操作他們的工作筆記本電腦。（工人們也可以使用虛擬私人網絡來隱藏他們的真實位置，但這有風險，因為許多公司網絡可以檢測到它們。）一些軟件需要監控：例如，Zoom的遠程控制功能有24小時的時間限制，需要定期重置。

幾個月內，查普曼就與中華團隊的十幾名成員合作，通過Skype聊天，偶爾視頻交流。她瞭解到，其中一些是IT工作者，而她相信其他人則在監督多名遠程員工。“他們承諾會幫助我提升軟件工程技能，”她説。雖然她很少與僱傭這些員工的美國公司有任何直接互動，但她記得在筆記本電腦包裹上看到的名字包括谷歌、英偉達和亞馬遜。

谷歌在一份電子郵件聲明中表示，“我們有流程和政策來檢測這些操作並向執法部門報告。”亞馬遜在一份聲明中表示，它有保障措施來防止“非法的工作申請”，並補充説“亞馬遜沒有直接僱傭與這一計劃相關的任何員工，在極少數情況下，發現第三方承包商的員工以欺詐身份工作，我們迅速將其移除。”英偉達拒絕置評。但一位瞭解這些事件的消息人士，由於未被授權公開討論此事而要求匿名，證實了朝鮮特工被發現為每家公司工作。

這份穩定的工作幫助查普曼走出了她在新冠疫情期間陷入的心理健康危機，當時她一直在等待中華的後續消息。她的母親被診斷出患有腎癌，健康狀況開始惡化。“我基本上是一個人，”查普曼在她當時發佈的YouTube視頻中説。“我本身沒有很多朋友。”她的拖車沒有暖氣和自來水，她説她被診斷出患有心理健康問題，包括雙相情感障礙、焦慮、抑鬱和複雜性創傷後應激障礙，後者源於童年時期的性侵犯和其他身體侵犯。

現在，她逐漸重新振作起來，開始向她的新僱主證明自己是一個積極進取的人。2021年4月，她為一名以“David S.”身份工作的IT人員送了一台筆記本電腦（商業週刊在身份可能被盜用的情況下隱去全名）。他問她是否能設置好電腦。當然可以，她回答説。“我幾乎每天都在做這件事！”

新冠疫情對朝鮮的遠程IT部隊來説是一個幸運的轉折。安全研究人員表示，自2010年代初以來，這些工人一直在尋找IT工作，通常在其他東南亞國家設立空殼公司以競標自由職業項目。“這代表了十年的投資來測試這一點，”帕洛阿爾託網絡公司Unit 42網絡安全部門的安全研究員埃文·戈登克説。“對政權來説有點巧合的是，疫情發生時他們正好有一大批這樣的工人剛剛成年。”也就是説，新冠封鎖為遠程工作者創造了公平的競爭環境，並降低了許多僱主的警惕性。

申請遠程工作時，工作者首先需要構建一個虛擬身份。這些身份有時是從暗網泄露數據中竊取的，有時則是真實的美國人為了幾百美元報酬，主動將自己的姓名、社保號碼和身份證件出借給朝鮮人使用——這種行為被稱為"騾子身份”。“我們發現有越來越多美國人自願成為身份騾子的共犯，“高登克表示，“他們只需在遠程工作論壇或賭博成癮者論壇上發帖就能輕鬆找到合作者。”

獲得身份信息後，朝鮮特工就開始為這些虛擬身份偽造職業背景：製作簡歷、求職信和領英檔案。去年微軟威脅情報小組發現一批朝鮮文件，顯示IT工作者使用AI軟件將自己的面部合成到證件照上，並偽造在美國公司工作的場景照片。調查人員還在微軟旗下的代碼託管平台GitHub上發現數百個朝鮮運營的賬號，工作者通過上傳代碼樣本來佐證其偽造身份。

安全研究人員指出，朝鮮特工通常以5-6人小組形式運作。“每個人都有明確分工，“DTEX公司的巴恩哈特解釋道，“英語流利者負責撰寫英文材料或參與面試，有人專門註冊空殼公司，還有人專職製作簡歷並分發給需要的成員。”

由於這些竊取或租借的身份需要通過背景調查，朝鮮團隊常使用正規企業採用的在線篩查服務平台進行測試。檢方文件顯示，查普曼在名為SentryLink的背景調查平台開設賬户，並將登錄憑證提供給化名"Joren Jo"的聯絡人（查普曼辯稱是Jo使用她的借記卡信息自行註冊）。根據法庭記錄，Jo與其他朝鮮特工隨後對數十個盜用身份進行背景核查，利用獲取的數據完善更具説服力的履歷背景。

實際上，這一步驟並非總是必要。許多大型企業通過第三方勞務公司僱傭員工，並默認這些承包商已通過背景調查。“有時連面試都沒有”，戈登克表示，“IT外包公司説’這個人現在就能來參與你們的項目’，然後啪的一下，你發枱筆記本電腦過去他們就獲得了權限。當你稍加試探時，這些身份就會輕易瓦解，這令人震驚。”

同時為多個僱主工作的明星IT工作者每年能為朝鮮政權創收60萬至80萬美元

安全專家指出，朝鮮人將求職申請視為數量遊戲。但和我們所有人一樣，他們也有職業目標。“他們不想成為管理者，也不願擔任需要頻繁與人接觸的職位”，巴恩哈特分析道，“你會發現他們傾向於後端高級數據處理工作，也就是那些通常會外包給第三方的工作。”

獲得面試機會的人有兩種策略可選：要麼像《大鼻子情聖》那樣將答案傳遞給冒名頂替者，更多情況下，由於使用經過篡改的身份證件上的本人照片，他們會親自參加面試，依靠自身知識或諮詢聊天機器人獲取應答內容。

當工作機會來臨時，還需應對常規的企業流程：背景調查、僱傭資格表格、税務表格、直接存款設置。所有這些環節都有像查普曼這樣的美國協調人協助處理。

一旦朝鮮工作者在美國公司站穩腳跟，他們就能推薦其他人填補空缺職位，若被推薦人成功入職還可能獲得簽約獎金。有時推薦人會啓用自己操控的另一個身份，最終在同一家公司身兼兩職。Secureworks公司高級研究員拉菲·皮林長期追蹤IT工作者問題，他指出：“即使工作者僅通過試用期，他們已獲得兩三個月的美國薪資，之後可以繼續轉移。沒有任何機制能阻止他們重新申請同一家機構的職位。”

對查普曼來説，為外國技術工人提供通道的想法起初似乎完全合理。“其中一人告訴我，有些美國公司希望與外國工程師合作，但不想將實體設備運到海外，“她説。她參加的編程訓練營的導師來自世界各地，她也知道許多企業將編程業務外包。“我以為自己是個很酷的中間人，“她説，“這些人遍佈全球的事實並沒有真正引起我的警覺。”

朝鮮特工經常通過招聘網站公開招募筆記本電腦農場主，發佈居家工作的廣告。例如，Freelancer.com或Upwork上的典型招聘信息會尋找"美國遠程IT硬件管理員"或簡單的"遠程筆記本電腦管理”。這些職位描述被精心設計成聽起來像是任何具備基本計算機知識的人都能輕鬆賺錢的工作，列出的職責包括"在家接收並安全存放筆記本電腦”、“根據需要開關筆記本電腦"以及"執行無法遠程完成的任務”。基本要求是"有能力維護一個安全且適宜的環境來託管客户筆記本電腦”。

查普曼表示，甚至多名員工可能共用同一個身份的想法也沒有讓她覺得奇怪。她看過軟件工程師吹噓"工作堆疊"的YouTube視頻——即獲得多份遠程工作，甚至將其分包給次級承包商。中華的一位同事告訴她，他聯繫了美國的一位就業律師，這位律師"幫他找到了一種讓一羣人合法地以一個人名義工作的方法”，她説。

隨着筆記本電腦農場的收入增加，查普曼得以與母親和一位因腎衰竭多次中風的表親搬到了明尼阿波利斯的公寓。這份居家工作的性質讓她能同時照顧兩位親人。“有時候我會連續工作10到12小時，“她説，“但也可能一週只需工作三小時。“但她不能長時間離開那些筆記本電腦——她必須隨時注意設備重啓、過熱、Wi-Fi和電源故障：“我感覺自己被拴在了電腦前。”

查普曼表示，隨着時間的推移，中華和他的同事們變得愈發苛刻，甚至出言不遜。他們要求她全天候待命提供技術支持，還開始讓她將部分筆記本電腦寄往公司所在地中國丹東，有時還要求她購買並郵寄某些手錶等他們聲稱在當地難以購得的物品。

某天她需要驅車45分鐘去為表親取藥。途中一位叫馬力的員工開始"瘋狂撥打我的工作手機和個人手機，不斷打電話發信息”。他要求立即處理筆記本電腦的問題。“我告訴他’必須先去取救命的藥’，但他根本不在乎。直到我調轉車頭，他的信息轟炸才停止。“次日，她的表親就被送進了醫院。

查普曼坦言，自己向來不擅長反抗苛刻的上司。“我總忍不住討好身邊所有人，“她説，“我很難設立界限，當別人越界時，我更無力堅守。”

另一方面，曾有一段時間她感受到類似戰友的情誼。情人節那天，當查普曼表示感到孤獨時，一位自稱凱文的員工主動提出當她一日男友，還發送了電子賀卡和鮮花。生日時她收到了中華團隊聲稱集體湊集的1000美元，外加一個記憶棉牀墊。“現在想來很蠢，但我當時確實把很多人當朋友，“她説，“當我開始懷疑他們從事不法勾當時，我曾當面質問，得到的回覆總是’我們絕不會傷害你，你就像我們的妹妹’"。

最終疑慮促使查普曼諮詢了律師——某種程度上算是諮詢。她花費200美元通過在線平台進行諮詢，詢問目睹的"崗位堆疊"是否合法。她回憶律師稱這是"灰色地帶”，但隨即強調"我並非你的代理律師，本次諮詢僅作娛樂參考”。查普曼表示當時就此作罷（但據後續檢方指控，她向同事轉述時強化了律師警告，稱其行為"可能招致牢獄之災”）。

2022年夏，腫瘤醫生判定她母親存活期不足一年。因母親不願在嚴寒中度過最後時光，查普曼決定遷居鳳凰城。此時她同時運作35至40台活躍筆記本電腦，還有員工離職留下的閒置設備。她聲稱提前數月告知中華公司搬遷計劃，但臨行時員工卻施壓要求取消搬家以維持工作。她首次萌生念頭：“我必須擺脱這些人。”

不過最終，他們還是讓步了。那年十月，查普曼租了一輛U-Haul卡車，裝上筆記本電腦，驅車前往她在鳳凰城郊區利奇菲爾德公園租的一棟灰泥牧場式住宅。她每月能賺5000到11000美元。“這是我人生中第一次感覺不再掙扎，“她説，“之前的工作月收入可能只有500美元。”

此時，她對工作某些環節的瞭解似乎已超過僱傭她的人。當NBC環球傳媒有限公司為一位名叫丹尼爾·B的員工寄來筆記本電腦（該員工在流媒體服務Peacock的工作所需）時，查普曼啓動電腦並安裝了AnyDesk遠程控制軟件。根據查普曼的陳述及法庭文件佐證，NBC環球有一套複雜的入職流程，丹尼爾·B需要協助完成。

“20分鐘後我們要開筆記本設置會議，“他發消息給她，“你能加入Teams會議跟着IT人員的指示操作嗎？因為需要多次重啓電腦，我應付不來。你可以靜音只聽指示，他們會全程控制屏幕，基本不需要你操作。用手機或你自己的筆記本加入會議就行。”

“我該説我是誰？“查普曼意識到視頻會議突然出現第三方可能引起懷疑。

“不用出聲，我也會在線的，“丹尼爾回覆。

“但會顯示我的名字對吧？“她追問。

“你只要靜音聽着，“丹尼爾堅持道，“然後按她的指示做，可能會讓你重啓電腦。”

“我只是輸入了丹尼爾的名字，”查普曼主動説道，“如果他們問你為什麼使用兩台設備，就説你筆記本電腦的麥克風壞了。大多數IT人員對這個解釋都能接受。”

顯然他們確實如此。根據法庭文件，丹尼爾·B為NBC環球工作了至少一年，並獲得了12.1萬美元的報酬。NBC環球拒絕置評。

插圖：Hokyoung Kim為《彭博商業週刊》繪製美國製裁令規定，若公司明知或“應知”某人是朝鮮政府資助人員仍予以僱傭，則屬違法行為。但當局對追責僱傭公司毫無興趣。相反，檢方竭力維護企業受害者的聲譽，在法庭文件中將其描述為“位於德克薩斯州的人才招聘公司”“底特律的財富500強標誌性美國汽車製造商”以及“總部位於加州的世界知名媒體娛樂公司”。

在查普曼案中，一份未刪節的搜查令申請（由《舍伍德新聞》和丹麥媒體《工程師》首次報道）披露了她涉嫌提供筆記本電腦託管服務的部分公司，包括NBC環球、凱悦酒店、貸款機構Rocket Mortgage、保險公司MassMutual以及已倒閉的汽車製造商菲斯克。與NBC類似，MassMutual對意外僱傭朝鮮特工一事不予置評；凱悦和Rocket Mortgage未回應詢問。後來，耐克公司在向法院提交的受害者影響陳述中主動披露了此事。

企業沒有義務向執法部門報告僱傭朝鮮IT員工的情況，而因受騙僱傭外國特工對大多數公司來説都是不願公開討論的尷尬事。少數公司如網絡安全企業KnowBe4 Inc.曾公開披露其僱傭過疑似朝鮮特工的軟件工程師。去年秋天CoinDesk Inc.記者曾曝光十餘家被滲透的加密貨幣公司。但多數發現此類問題的企業會選擇悄悄解僱員工，希望問題自行消失——披露真相可能引發投資者恐慌。

安全分析師們同樣謹慎對待未經授權討論受害客户的情況。但在筆者採訪過程中，通過他們經手的匿名入侵案例，他們描述了朝鮮同事為融入環境採取的極端措施。某工業科技公司的朝鮮員工收到芝加哥全員線下邀請後，安排美國中介用公司經費購買機票，卻在會議前夕以妻子生病為由爽約。此人潛伏數月才被發現。

視頻會議是許多遠程工作者的噩夢，但對朝鮮員工尤為棘手。他們通常以生病或網絡不佳為由迴避。被迫出鏡時，往往使用虛擬攝像頭應用，讓視頻看起來是從被控制的筆記本電腦傳輸的。時差和晝夜問題則通過降低視頻分辨率解決，以網絡不佳為由關閉攝像頭。

一些朝鮮人會進行看似戰略性的關係建立——糾纏那些從合同工轉為全職員工的同事，以便弄清楚如何做到同樣的事情。一位研究人員告訴我，其他人“與即將離職的同事培養關係，提供的告別信息近乎過度讚美。”他們交換聯繫方式，可能是希望未來獲得推薦，或者只是收集釣魚目標。

出於顯而易見的原因，朝鮮人往往保持低調。然而，有時與同事建立真實聯繫的誘惑——“沒有明顯的戰略利益”，正如一位研究人員指出的——變得過於強烈。他們會加入關於視頻和體育的內部討論組，尤其對排球感興趣，這種興趣通常包含在他們的個人資料中。

在一家大型系統集成商，一名朝鮮人度假歸來，帶着埃菲爾鐵塔的照片。他們感謝同事在他們外出時的代班，並提供了巴黎旅行中看似合理但模糊的故事。在公司發現這名員工是朝鮮人後，調查人員重新審視了“度假照片”。這名員工只是將自己的臉換到了巴黎遊客的庫存照片上。

根據PScore的報告，一個倡導朝鮮統一和人權的非政府組織，被徵召從事遠程IT工作的朝鮮脱北者在採訪中表示，每個工人團隊“在部署前由一位責任重大的領導者指導，一起訓練一個月。”這些團隊在擁擠且高度監控的條件下生活和工作。通常同時從事幾份工作，他們通宵工作10小時以跨越時區操作。PScore的研究人員發現：“他們的行動自由受到嚴重限制，每天只允許一次散步，每週偶爾外出一次。他們被迫在孤立的環境中長時間工作，由於壓迫性的條件而承受巨大的心理壓力。工人需要達到嚴格的月度收入目標，未能達標會導致公開羞辱和來自團隊領導者的強烈心理壓力。”一名脱北者報告説，他的一些前同事選擇了自殺。

一些遠程工作者在丹東市指定的公寓工作，這裏是中朝邊境的IT人才聚集地，也有人在中國內陸更深處工作。“我們追蹤到幾處疑似他們實際工作地點，看起來就是普通住宅區，外觀相當普通的居民樓，“帕洛阿爾託網絡公司的戈登克表示。IT工作者還被追蹤到俄羅斯、東南亞其他國家、中東和非洲等地，有時似乎就在朝鮮大使館內辦公。查普曼稱，當中華和同事們偶爾打開攝像頭時，她看到成排的辦公桌和廚房，看起來像是高層公寓。

IT工作者90%至95%的收入直接上繳國家。儘管如此，這些職位仍令人垂涎，因為朝鮮人極少有機會出國並賺取外匯——哪怕數額很小。即便只能留下5%到10%，這些收入也遠超他們在國內的收入。戈登克估計，同時兼顧多份工作的頂尖IT人才每年能為國家創收60萬至80萬美元。“優秀人才忙到連大公司的高薪offer都會拒絕。但每出現一個這樣的精英，我敢説就有五個連視頻會議都遲到、從不提交代碼的混子。”

這一切難免讓人疑惑：美國同事為何不起疑？“這種威脅正是利用了人們的積極偏見——我們不願與同事發生衝突，“戈登克説，“我們不想當面指摘。管理者希望顯得自己管理有方或用人得當。“僱傭遠程工作的僱主可能將異常情況歸因於文化差異，也擔心提出質疑會顯得不近人情。“首先，多數人根本不會想到那個古怪同事可能是朝鮮人；其次，舉報這種事需要極大勇氣。”

插圖：Hokyoung Kim為《彭博商業週刊》繪製對朝鮮人而言，將工資從美國轉出需要美國中間人提供更復雜——也更危險——的協助。最簡單的情況下，為代理人工作的"身份騾子"只需開設一個他們能直接操作的美國銀行賬户。工資以騾子名義直接存入該賬户後，朝鮮人可通過關聯的PayPal、Venmo賬户或加密貨幣交易平台將資金轉移至全球各地。

但當IT工作者使用盜用身份時，情況就變得複雜。由於無法親自到場開户，遠程工作者需要"資金騾子”：即願意讓陌生人借用自己賬户的當地合作者。據查普曼稱，鍾華和Joren Jo等人曾脅迫她進行銀行轉賬。2022年中期，法庭文件顯示她曾告知Jo正在研究"需要哪種銀行賬户"來直接接收工人工資。“如果我的賬户因處理過多大額境外轉賬被聯邦政府標記怎麼辦？“她質問道，“我會惹上麻煩甚至坐牢。必須確保操作合法。“她表示曾諮詢銀行經理"以確認操作不會惹禍”。

“我完全理解你的顧慮，“Jo回覆道，“抱歉打擾了。”

但到2023年春季，查普曼稱已被迫將紙質工資支票存入個人賬户。根據法庭記錄，她最終通過手機應用程序存入了超過6萬美元的支票，並在Payoneer Inc.和PayPal等支付平台開設賬户。資金到賬後，她便以"貨運費"或"網頁設計"等名義轉入這些平台。

“我當時就懵了，‘你什麼意思，你的名字完全是編的？我這麼稱呼你一年半多了’

那年三月，一位自稱"歐文·B"的同事聯繫她關於寄到她家的支票。“你能找個人幫忙處理實體紙質支票嗎，“他發消息説，“我願意支付30%的手續費。問題是’歐文·B’不是真名。”

“難怪支票被銀行拒收，原來是假名，“查普曼回覆道，“這會讓我因欺詐罪坐牢的。所以歐文這個人根本不存在？”

“對。還有操作空間嗎？“歐文·B追問。

“我願意再試一次，“查普曼説，“但我沒有第二張支票。另一張始終沒寄到。”

“我會向公司核實，你可以用即將到賬的那張試試，“歐文·B回覆，“金額約3800美元，30%作為酬勞。”

如今回憶起來，查普曼説她當時第一次震驚地發現同事身份造假。“我整個人都傻了——‘你説名字全是假的？這一年半我都在用這個名字叫你’。“她感到被欺騙，愈發確信該與中華公司等人切斷聯繫。並非因懷疑對方是朝鮮人，而是受夠了他們的頤指氣使。“他們根本不尊重我，“她説。當時她母親已大小便失禁，“當母親需要幫助時，他們總是優先自己，比如’你必須先完成這個才能去處理那個’。有好幾次我母親不得不坐在排泄物裏等半小時到45分鐘，就因為他們不肯給我十分鐘處理。”

然而，此時她已完全依賴這份工作來支付每月3500美元的房租、食物、空調費用以及母親的醫療護理。根據法庭文件記錄，她向遠程工作者收取"登錄美國公司筆記本電腦、連接美國公司網絡、下載遠程訪問軟件、為海外IT人員遠程連接筆記本電腦、提供技術支持、筆記本保管與寄送，以及安排付款轉賬"等服務費。兩年間這些費用總計超過17.6萬美元。

2023年4月19日，她在TikTok上告訴粉絲們母親只剩最後幾天生命。“我只是需要找人傾訴，“她説，“我身邊沒有多少親人。“當母親在次日凌晨離世時，她徹底崩潰了。即便如此，她説筆記本電腦農場又發來新的需求。“我必須在醫院處理完一些事情才能回家，“她説。但有些人已經開始衝她吼叫，“用全大寫字母寫着’立刻給我開機’和’你現在必須馬上回家！’”

查普曼一直是社交媒體上的高產博主，用視頻記錄日常掙扎與小勝利。母親去世後，她在TikTok上尋求慰藉與共鳴。6月6日，她發佈了最新一期飲食監督挑戰視頻——這是TikTok上的熱門內容（該挑戰要求公開記錄每日飲食）。“大家好，“視頻開場她説道，“今天是第7天，今早沒自己做早餐。客户們快把我逼瘋了，所以只買了碗冰沙。”

但這段42秒的視頻之所以引人注目——至少對即將成為其觀眾的FBI探員而言——在於它的背景。查普曼身後裸露房間的金屬架上，擺放着至少10台打開的筆記本電腦。根據聯邦當局後續提交的搜查令申請，這些電腦"似乎正在運行”。當查普曼轉動鏡頭時，其中一台筆記本屏幕發生變化，彷彿正被遠程操控。

插圖：Hokyoung Kim為《彭博商業週刊》繪製截至2023年夏季，當局仍未察覺異常，但查普曼的擔憂與日俱增。那年八月，她向同事抱怨持續要求她填寫僱傭表格：”[將來]希望你們找別人處理實體I-9表格”，她在羣聊中寫道，“這些都是聯邦文件。我可以幫你們寄送，但讓別人來做文書工作。偽造聯邦文件會讓我進聯邦監獄的。“同月，她記得接到加州某公司的電話，這家公司曾因遠程員工離職而收到她退回的筆記本。對方質問為何這已是她代他人退回的第二台設備。查普曼稱自己迅速掛斷電話，再未收到該公司聯繫。

此時她開始感到同事的威脅。她回憶其中一人聲稱要搬來同住"確保我守規矩”；另一人派當地"朋友"上門取筆記本——對方甚至無需詢問地址。她把電腦放在門階上，自己躲進屋內。她説曾諮詢律師如何與公司切割，但律師要求預付1萬美元定金。最終她在Craigslist上按小時僱了兩名"助理”，協助自己轉行。

那時已經為時已晚。那年九月，聯邦調查局收到Palo Alto Networks關於某公司無意中僱傭了朝鮮人的線報。不久後，這家安全公司發佈博客文章，概述了此類活動中使用的策略。法庭文件中未提及受害公司名稱。但最近，我在查閲另一起案件的搜查令申請時發現，該申請連續描述了受害者和那篇博客文章，從而揭示了一個令人驚訝的細節——這一細節得到了瞭解事件內情的消息人士證實，該人士因未獲授權公開討論此事而要求匿名。受害者並非Palo Alto Networks的客户，而是Palo Alto Networks自身。

根據搜查令申請，Palo Alto曾收到另一家公司的警告，該公司僱傭了Palo Alto的一名承包商，告知該安全公司這名承包商最近從朝鮮IP地址更新了領英資料。當Palo Alto深入調查時，發現這名員工似乎是通過勞務公司引入的至少九名朝鮮人之一。調查還發現，其中三人使用了寄往查普曼亞利桑那州地址的電腦。（Palo Alto今年早些時候曾安排我採訪其研究員Evan Gordenker，但未提及自身在此案中的角色。當我詢問關於Palo Alto自身是受害者一事的評論時，該公司停止了回應。）

2023年底，查普曼前往加利福尼亞參加音樂會——就像幾個月前去日本那樣——短暫地將她的筆記本電腦農場交給Craigslist上僱傭的助手管理。她離開期間，其中一名女性發消息告訴她FBI探員正在她家中。“我的天塌了，“她説。她給Zhonghua發消息，對方讓她刪除手機裏所有內容。她説她開始照做，但隨後改變了主意。FBI在她家中發現了90多台電腦，全部在遠程操作。

特工們在查普曼回國下飛機時攔截了她，沒收了她的電子設備但並未逮捕她。次日，她表示聯邦調查局探員在她家中進行了長達一個半小時的詢問，期間沒有律師在場。她稱對方從未提及朝鮮，也未提出讓她配合追蹤鍾華（音）及其他同夥的可能性。“我本會毫不猶豫地協助，“她説，“在他們對我做出這一切之後。“代理美國檢察官皮羅拒絕置評。

據帕洛阿爾託網絡公司博客文章披露，一個月後其研究人員偶然發現朝鮮IT工作者遺留在GitHub上的一批文件。其中包括"偽造多國公民身份的虛假簡歷"和"美國企業IT職位招聘帖的副本”。部分文件含有朝鮮語密碼（某些詞彙僅朝鮮使用），顯示作者確實獲得過這些職位。根據搜查令申請材料，其中三份工作"後經商業記錄證實，與查普曼住所查獲的電腦存在關聯”。

查普曼稱，在聯邦探員告知將再次約談後，她將自己封閉在與室友及五隻茶杯吉娃娃迷你杜賓混種犬合住的家中。2024年5月8日，探員們終於帶着約六輛警車返回，用擴音器命令她出來。“我當時又驚又怕，頭暈目眩，直接癱倒在人行道上，“她回憶道。隨後她被逮捕並關押至聯邦拘留所。

華盛頓特區的聯邦檢察官以電匯欺詐、銀行欺詐、洗錢及"非法僱傭外籍人員"等罪名起訴查普曼。檢方最終指控該陰謀涉及盜用60名真實美國公民身份，滲透超過300家美國公司，為朝鮮創收1710萬美元。

司法部起訴書將查普曼描繪成積極參與的共犯。她辯稱當局只關注其認罪內容，卻無視脅迫因素——“那些我反覆説不卻遭施壓的對話”。

除查普曼外，僅有三名使用中國化名的丹東收件人被起訴，這些疑似朝鮮籍人士幾乎不可能被捕。這類"點名羞辱"式起訴中，司法部坦言無法核實偽冒身份者的真名。“確實令人沮喪，“皮羅談及執法侷限時表示，“但這為我們開啓了更深入調查的契機。”

查普曼最初對所有指控拒不認罪，並持續在社交媒體活躍。她發佈數十支搭配音樂的臉部特效視頻，配文"一起來嗨！！"。既有感恩視頻，也記錄心理健康微進展（“真的非常微小，“她在片段中調侃，“比如把衞生紙卷…裝回了支架”）。

到了夏末，她似乎又回到了多年前收到那封領英陌生私信前的起點。“生活給了我一個意外的打擊，“她在8月創建的GoFundMe頁面上寫道，“我失去了我的家。“她試圖籌集7000美元償還利奇菲爾德房產的債務判決，再籌7000美元重整旗鼓。所有帖子都未提及她的起訴，但她現在表示逮捕記錄已出現在背景調查中。在幫助過那麼多工人獲得並保住工作後，她自己卻找不到工作。到十月時，她已住進女性收容所。

當我追蹤她聯邦案件緩慢推進的過程時，不斷想起DTEX公司巴恩哈特告訴我的事——客户公司詢問是否真需要解僱那些被發現的朝鮮員工。對某些人而言，這種IT工作者騙局可能很難被視為銀行搶劫或加密貨幣黑客那樣的重罪。確實，被盜身份正被用於資助朝鮮的火箭計劃，但從某個角度看，這聽起來像是全球化的代價。企業以效率之名外包IT工作，朝鮮特工只需説"我們能勝任這些工作”——一個通過民主國家技術支持獲得資金的獨裁政權。

但與我交談的安全分析師認為，這些遠程工作騙局除了越來越多以勒索和數據盜竊收場外，可能是更宏大行動的序曲。“出於某種原因，他們保持着某種剋制，“戈登克説，“我不明白為什麼他們不總是植入惡意代碼，為什麼不總是竊取更多數據。”

已有跡象表明存在更險惡的企圖。根據法庭文件，在查普曼協助下運作的求職者曾成功入職美國總務管理局、聯邦保護局（國土安全部下屬負責保衞政府設施的部門）及移民與海關執法局。在後兩個機構中，當被要求提供指紋時他們選擇了放棄。而在總務管理局，一名在表格中將查普曼登記為配偶的海外員工參加了數場會議卻始終沉默，隨後悄然消失。

據查普曼陳述及法庭文件佐證，中化集團一名人員通過承包商入職波音公司後，曾委託她協助從當地辦公室領取工牌（她將工牌留在了相關筆記本電腦上）。“我親眼見證他們試圖獲取涉密職位，”巴恩哈特表示，“這些人已滲透進國防工業基地和政府機構。若讓他們獲得權限，可能造成嚴重破壞。”波音公司拒絕置評。

好消息是，只要意識到問題所在就找到了解決之道。“一旦知道篩查標準，我認為甄別這些人並不困難，”Secureworks公司的皮林指出。皮羅建議僱主可要求應聘者攜帶筆記本電腦攝像頭到户外驗證即時位置。“美國企業只需提高用人標準，加強盡職調查，”她強調，“這是零成本的防護措施。”但朝鮮方面很可能持續調整策略。谷歌威脅情報小組研究顯示，該國IT工作者騙局已蔓延至歐洲。今年二月，OpenAI宣佈封禁來自朝鮮和中國的可疑賬户，這些賬户利用ChatGPT生成簡歷、求職信和社交媒體帖子，用於招募類似查普曼這樣的協助者。

同月，查普曼通過Zoom從亞利桑那州參加了華盛頓特區法庭聽證會，並將抗辯改為認罪。她表示這似乎是唯一可行的選擇。她簽署了一份"犯罪事實陳述”，概述了她參與該計劃的情況，包括承認自己明知違法的事實。

然而，即使在政府概述其罪行的量刑備忘錄中，檢察官也指出查普曼仍稱她曾效力的"公司"是"合法的”。“儘管已向本法庭認罪，“他們寫道，“被告似乎並未完全認識到自己在犯罪陰謀中的罪責程度。”

7月24日，她被判處八年半監禁。多年前，中華曾承諾讓查普曼成為公司的門面。在美國當局的"協助"下，他終於兑現了這個承諾。

五月的某個下午，我在鳳凰城南部的過渡教習所接出查普曼，她在等待量刑期間居住於此。她已無家無車，只能乘坐教習所的麪包車往返於心理健康門診課程。她説參加這些課程是為了增強心理韌性。她預計將入獄服刑，對可能面臨的獄中欺辱充滿恐懼。“這對我來説完全是未知領域，“她説。

我們在酒店大堂交談數小時，回顧她的人生。她説除了治療課程，自己已數月未踏出過渡教習所。被捕前認識的人大多已離她而去；其他朋友熟人，則是她自己主動斷聯。“我不想讓他們難堪，“她説，“我為自己感到羞愧。“她甚至收到過來自家族成員的死亡威脅——那些人看過新聞報道，似乎真把她當成了背叛國家的朝鮮特工。

在我們的交談中，她的態度在看似接受現狀與悲嘆命運之間搖擺不定，有時甚至淚流滿面。“我內心有一部分至少對曾經獲得的收入心存感激，”她一度説道，“在母親生命的最後幾年裏，我幫她卸下了不少重擔。”但當意識到真實身份被盜用的人們深受其害時，她陷入了深深的自責。“成為傷害他人的組織一員——我永遠無法原諒自己，”她説，“我現在才明白當初相信那些人鬼話的自己有多愚蠢。”

她指出，那些僱傭朝鮮人的公司擁有足夠的資金和律師團隊，能確保法律體系將他們視為匿名受害者。“我知道自己很天真，”她説，“儘管參與了其中，但我覺得自己也是受害者。”

走向停車場的路上，她近乎不經意地提到最近收到一封陌生郵件，對方用暱稱“賽拉”稱呼她。“你是誰？”她回覆道。

“還記得ZH嗎？”對方回答。

“ZH？”

“我是中華。”

後來她向我展示了郵件內容。對方稱自己剛結束“長途旅行”，並“從朋友那裏聽説了你的不幸”。但他帶着新計劃聯繫她：“我要和你一起重振我的小生意，”他寫道，“這次絕對安全。如果願意，請聯繫我。”她始終無法確定對方是真心邀她合作，還是僅僅試探風頭是否過去。她告訴我，自己將此事告知律師後，選擇了沉默。