北韓IT人員進行間諜活動 Google偵測顯示威脅擴散

Google威脅情報副總裁喬伊斯今天在一場AI安全座談會上表示，Google威脅情報偵測到北韓IT人員假冒身分為北韓政權牟利、進行間諜活動和勒索，活躍於亞洲、歐洲、美洲，問題正持續擴大，需提前防範。

北韓資訊科技（IT）技術人員近年來假冒身分滲透美國企業，詐領薪水再供北韓彈道飛彈計畫；南韓國情院上個月也示警，北韓駭客組織嘗試竊取南韓地方政府行政資料。

Google威脅情報（Google Threat Intelligence）副總裁喬伊斯（Sandra Joyce）今天在美國拉斯維加斯舉行的Google Cloud Next大會上，針對此現象表示團隊觀察到北韓IT人員滲透與擴散至各地，進入全球500大企業還有小型公司，「這是一個非常嚴重的問題」，且目標和手法不斷演變。

喬伊斯表示，北韓IT人員在網路系統植入惡意程式碼，到了今年，甚至有觀察到他們再次展開勒索行動，因此「情況變得更嚴重、也更加分散」。

喬伊斯並指出，北韓IT人員活躍於歐洲、亞洲、美洲，且持續擴散當中。他們之所以能迅速擴散是透過一種特殊方式來操作，即1名北韓IT人員創建出多個假身分，互相充當推薦人，使自己看起來像是專業可靠的人士，從而提高受雇用的機會。

曾有家公司發現雇用到北韓IT人員，是因為該人員在公司筆電安裝遠端存取工具，幸好事先部署了偵測系統，及時發現並處理，Google將持續監測和研究此類行動。

Google近期針對俄羅斯、中國、北韓與伊朗4國的進階持續性威脅者，觀察他們如何使用AI模型Gemini從事各項活動，發現這群人確實因為AI提升了生產力，可更快編寫出惡意軟體，並觀察到他們對一些傳統間諜目標深感興趣，例如反無人機技術、F-35戰機這類的軍事科技資訊，並且正試圖繞過模型的安全防護機制（guardrails）。

報告也指出，中國的進階持續性威脅者利用Gemini進行偵察、程式除錯，及研究如何更深入滲透目標網路，特別關注橫向移動、權限提升、資料外洩以及規避偵測等主題，研究美國軍方與IT服務供應商，瞭解美國情報人員公開資料庫。

喬伊斯認為，他們的手法會持續進步，也會開始採取更複雜手段來攻擊AI模型。

她表示，Google一直關注是否有由AI驅動、且在某方面超越人類能力的攻擊手法，「我們還沒看到這樣的情況發生…我們的工作，就是要搶先一步，在他們之前偵測與防範這些威脅。