朝鲜通过承接美国远程IT工作渗透美国——彭博社

Evan Ratliff

2025-07-25

插图：Hokyoung Kim为《彭博商业周刊》绘制

2020年，当克里斯蒂娜·玛丽·查普曼第一次误打误撞卷入一场国际阴谋时，她正试图扭转自己的人生。当时她住在明尼苏达州布鲁克帕克小镇，栖身于母亲名下农地上的一辆破旧旅行拖车里。成年后的查普曼曾辗转德克萨斯州、英格兰和科罗拉多州，在大卖场、快餐连锁店、赌场和抵押贷款经纪公司打零工——“没有一份是我童年梦想的工作”，她回忆道。

这位前海军陆战队军人的女儿和会计师母亲的女儿出生在父亲驻军的韩国，在 formative years 前辗转多地，最终在距离布鲁克帕克十几英里的松树城长大。如今44岁的她回到家乡重新开始。她贷款参加编程训练营，希望能摆脱没有前途的工作泥潭。在花费五个月时间和数千美元完成课程后，她创建了领英个人资料来展示新技能。职业：软件工程师。

就在那年二月，她在领英上收到一位自称"中华"的男子发来的未请自来的消息。他说自己就职于一家中国软件公司，该公司致力于为海外工作者匹配美国工作岗位。（查普曼回忆，公司名称是用汉字写的。）中华告诉她，他们需要一名美国代表作为工作者与雇主之间的中介。“他说他们看了我的项目经历和教育背景，“她说，认为她是这份工作的完美人选。中华告诉她，他们想让她成为"公司的门面”。

对查普曼来说，这就像有人掀开了她大半生被困在下面的那块石头。“我以为我终于找到了一份梦想中的工作，“她说，“就像他们在我身上看到了我自己没有意识到的东西。”

随着新冠疫情在随后几周内导致全国封锁，钟华提出了一个测试项目：为德克萨斯州的一家屋顶和围栏公司建立一个网站。“我们必须通过一些事情来学会信任彼此，“他告诉查普曼。他会信任她不会抢走他公司的工作。而她则要相信钱会先付给他，然后他会把她的费用转给她。

这项工作很成功，她也拿到了报酬。然后钟华几个月都没有消息，直到2020年底，查普曼说她收到了一个装有笔记本电脑的盒子。第二天，她收到了一个自称与钟华共事的人发来的Skype消息。“他们说，‘好的，你现在要做的就是：你要为我设置这台电脑，这样我就可以访问它并工作，’“她回忆道。很快，更多的笔记本电脑送到了。钟华重新联系了她，并告诉她，她每托管一台电脑，每月就能得到300美元。她梦想中的工作已经送上门，至少看起来是这样。

然而，这将被证明是一场漫长噩梦的开始。钟华的公司根本就不是一家公司，而是朝鲜政府特工的一个幌子，他们利用这些笔记本电脑为毫不知情的美国企业从事远程IT工作。而他看中她的承诺并不是作为一名软件工程师。而是作为一个"笔记本电脑农场主”——一个为朝鲜IT工作者提供地理掩护的美国人，让他们看起来像是在美国本土工作的美国人。据联合国估计，这些非法远程工作者的工资每年为该政权带来2.5亿至6亿美元的收入，其中大部分直接流入其火箭计划。

“美国企业正无意间与那些为朝鲜军火工业效力的个人合作，”华盛顿特区临时检察官珍妮·皮罗表示，“这是一个极其令人不安的问题，给美国制造了危险地带。”

由于武器计划，朝鲜民主主义人民共和国近二十年来一直遭受严厉制裁，实际上禁止了美国人与该国或其公民进行商业往来。然而，朝鲜的极权政府已展现出规避制裁的创造力，主要手段是模仿有组织犯罪的商业模式。2000年代，朝鲜在本土建立冰毒实验室，将毒品贩运至海外。2010年代，金正恩接替其已故父亲金正日成为最高领导人后，其政权将业务扩展至网络犯罪。2014年，朝鲜黑客攻击了索尼影视娱乐公司，随后转向更有利可图的行动，例如2016年试图从孟加拉国一家银行的数字金库中窃取10亿美元。（在该案例中，黑客将约8100万美元转回朝鲜。）

到2020年代，加密货币开辟了一条重要的新收入来源。尽管朝鲜的国内生产总值据信每年不足300亿美元，但其国家支持的黑客在2017年至2023年间估计窃取了约30亿美元的加密货币。而且收益似乎还在增长。今年2月，美国联邦调查局认定朝鲜对Bybit交易所的黑客攻击负责，该攻击在一天内窃取了价值15亿美元的以太坊。

除了这些令人震惊的网络犯罪外，朝鲜特工还通过一种极为平凡的方式敛聚巨额财富：在美国等国家获取远程IT工作机会并实际完成工作。根据联合国去年估算，此类工作者多达4000人，其中约四分之一常驻朝鲜境外。美国联邦调查局、国务院和财政部在2022年联合公告中指出，大多数IT员工"隶属于直接参与朝鲜被联合国禁止的大规模杀伤性武器及弹道导弹计划的实体机构并为其工作”。

这些数字背后隐藏着无数职场轶事——朝鲜人模仿西方居家办公文化，以美国中介为掩护的案例层出不穷。这些极端远程工作者以合同程序员、平面设计师、服务器管理员和数据库管理员身份进入美国劳动力市场。他们的雇主涵盖从初创企业到跨国公司的数百家毫无察觉的企业，横跨各行各业。“他们既会接《财富》500强公司的单子，“网络安全公司DTEX的国家级首席调查员迈克尔·巴恩哈特表示，“也会为夫妻店设计贴纸。他们在求职平台上表态'50美元我就接’，简直来者不拒。“追踪此类骗局的安全研究人员和执法者中有条铁律：过去几年若雇佣过IT合同工，美国公司很可能雇过朝鲜人。

该计划日益涉及一种工业间谍活动，因为工人们还会悄悄窃取敏感数据。加密货币公司尤其成为丰厚目标。有时工人们会转向敲诈勒索，威胁如果不支付赎金就泄露敏感机密。但安全研究人员发现，大多数工人只是通过努力完成普通工作并领取工资来为朝鲜政府筹集资金。无论是否平淡无奇，该计划都需要稳定的企业目标供应。巴恩哈特表示，一些雇主在发现自己成为目标时比其他雇主更感到震惊。“我认为我们遇到一些客户时最大的问题是他们说，‘谁在乎？’“他说。“我们见过这样的情况，他们就像在说，‘我们真的必须解雇他们吗？你确定他们是朝鲜人吗？因为这家伙很优秀。’”

在今年春天接受彭博商业周刊采访时，查普曼详细描述了她帮助朝鲜人从当局认为总计数百家美国公司领取支票的路径。她说她从未怀疑过他们的真实忠诚，即使她开始担心自己已经进入法律灰色地带；当局表示，她知道的足够多，足以理解她所做的是违法的。至关重要的是，这种计划需要一个像查普曼这样的美国"协助者"网络，无论是有意还是无意，来帮助工人们创建和部署虚假身份以维持有酬就业。当骗局被发现时，往往是这些人承担后果。

查普曼。摄影师：Ash Ponders为《彭博商业周刊》拍摄每当收到笔记本电脑，查普曼会先将其启动并运行，然后安装中华同事们偏好的任何一款现成远程控制软件。这些程序，如Zoom或AnyDesk，使得代理们能够在保持美国IP地址的同时，从任何地方操作他们的工作笔记本电脑。（工人们也可以使用虚拟私人网络来隐藏他们的真实位置，但这有风险，因为许多公司网络可以检测到它们。）一些软件需要监控：例如，Zoom的远程控制功能有24小时的时间限制，需要定期重置。

几个月内，查普曼就与中华团队的十几名成员合作，通过Skype聊天，偶尔视频交流。她了解到，其中一些是IT工作者，而她相信其他人则在监督多名远程员工。“他们承诺会帮助我提升软件工程技能，”她说。虽然她很少与雇佣这些员工的美国公司有任何直接互动，但她记得在笔记本电脑包裹上看到的名字包括谷歌、英伟达和亚马逊。

谷歌在一份电子邮件声明中表示，“我们有流程和政策来检测这些操作并向执法部门报告。”亚马逊在一份声明中表示，它有保障措施来防止“非法的工作申请”，并补充说“亚马逊没有直接雇佣与这一计划相关的任何员工，在极少数情况下，发现第三方承包商的员工以欺诈身份工作，我们迅速将其移除。”英伟达拒绝置评。但一位了解这些事件的消息人士，由于未被授权公开讨论此事而要求匿名，证实了朝鲜特工被发现为每家公司工作。

这份稳定的工作帮助查普曼走出了她在新冠疫情期间陷入的心理健康危机，当时她一直在等待中华的后续消息。她的母亲被诊断出患有肾癌，健康状况开始恶化。“我基本上是一个人，”查普曼在她当时发布的YouTube视频中说。“我本身没有很多朋友。”她的拖车没有暖气和自来水，她说她被诊断出患有心理健康问题，包括双相情感障碍、焦虑、抑郁和复杂性创伤后应激障碍，后者源于童年时期的性侵犯和其他身体侵犯。

现在，她逐渐重新振作起来，开始向她的新雇主证明自己是一个积极进取的人。2021年4月，她为一名以“David S.”身份工作的IT人员送了一台笔记本电脑（商业周刊在身份可能被盗用的情况下隐去全名）。他问她是否能设置好电脑。当然可以，她回答说。“我几乎每天都在做这件事！”

新冠疫情对朝鲜的远程IT部队来说是一个幸运的转折。安全研究人员表示，自2010年代初以来，这些工人一直在寻找IT工作，通常在其他东南亚国家设立空壳公司以竞标自由职业项目。“这代表了十年的投资来测试这一点，”帕洛阿尔托网络公司Unit 42网络安全部门的安全研究员埃文·戈登克说。“对政权来说有点巧合的是，疫情发生时他们正好有一大批这样的工人刚刚成年。”也就是说，新冠封锁为远程工作者创造了公平的竞争环境，并降低了许多雇主的警惕性。

申请远程工作时，工作者首先需要构建一个虚拟身份。这些身份有时是从暗网泄露数据中窃取的，有时则是真实的美国人为了几百美元报酬，主动将自己的姓名、社保号码和身份证件出借给朝鲜人使用——这种行为被称为"骡子身份”。“我们发现有越来越多美国人自愿成为身份骡子的共犯，“高登克表示，“他们只需在远程工作论坛或赌博成瘾者论坛上发帖就能轻松找到合作者。”

获得身份信息后，朝鲜特工就开始为这些虚拟身份伪造职业背景：制作简历、求职信和领英档案。去年微软威胁情报小组发现一批朝鲜文件，显示IT工作者使用AI软件将自己的面部合成到证件照上，并伪造在美国公司工作的场景照片。调查人员还在微软旗下的代码托管平台GitHub上发现数百个朝鲜运营的账号，工作者通过上传代码样本来佐证其伪造身份。

安全研究人员指出，朝鲜特工通常以5-6人小组形式运作。“每个人都有明确分工，“DTEX公司的巴恩哈特解释道，“英语流利者负责撰写英文材料或参与面试，有人专门注册空壳公司，还有人专职制作简历并分发给需要的成员。”

由于这些窃取或租借的身份需要通过背景调查，朝鲜团队常使用正规企业采用的在线筛查服务平台进行测试。检方文件显示，查普曼在名为SentryLink的背景调查平台开设账户，并将登录凭证提供给化名"Joren Jo"的联络人（查普曼辩称是Jo使用她的借记卡信息自行注册）。根据法庭记录，Jo与其他朝鲜特工随后对数十个盗用身份进行背景核查，利用获取的数据完善更具说服力的履历背景。

实际上，这一步骤并非总是必要。许多大型企业通过第三方劳务公司雇佣员工，并默认这些承包商已通过背景调查。“有时连面试都没有”，戈登克表示，“IT外包公司说’这个人现在就能来参与你们的项目’，然后啪的一下，你发台笔记本电脑过去他们就获得了权限。当你稍加试探时，这些身份就会轻易瓦解，这令人震惊。”

同时为多个雇主工作的明星IT工作者每年能为朝鲜政权创收60万至80万美元

安全专家指出，朝鲜人将求职申请视为数量游戏。但和我们所有人一样，他们也有职业目标。“他们不想成为管理者，也不愿担任需要频繁与人接触的职位”，巴恩哈特分析道，“你会发现他们倾向于后端高级数据处理工作，也就是那些通常会外包给第三方的工作。”

获得面试机会的人有两种策略可选：要么像《大鼻子情圣》那样将答案传递给冒名顶替者，更多情况下，由于使用经过篡改的身份证件上的本人照片，他们会亲自参加面试，依靠自身知识或咨询聊天机器人获取应答内容。

当工作机会来临时，还需应对常规的企业流程：背景调查、雇佣资格表格、税务表格、直接存款设置。所有这些环节都有像查普曼这样的美国协调人协助处理。

一旦朝鲜工作者在美国公司站稳脚跟，他们就能推荐其他人填补空缺职位，若被推荐人成功入职还可能获得签约奖金。有时推荐人会启用自己操控的另一个身份，最终在同一家公司身兼两职。Secureworks公司高级研究员拉菲·皮林长期追踪IT工作者问题，他指出：“即使工作者仅通过试用期，他们已获得两三个月的美国薪资，之后可以继续转移。没有任何机制能阻止他们重新申请同一家机构的职位。”

对查普曼来说，为外国技术工人提供通道的想法起初似乎完全合理。“其中一人告诉我，有些美国公司希望与外国工程师合作，但不想将实体设备运到海外，“她说。她参加的编程训练营的导师来自世界各地，她也知道许多企业将编程业务外包。“我以为自己是个很酷的中间人，“她说，“这些人遍布全球的事实并没有真正引起我的警觉。”

朝鲜特工经常通过招聘网站公开招募笔记本电脑农场主，发布居家工作的广告。例如，Freelancer.com或Upwork上的典型招聘信息会寻找"美国远程IT硬件管理员"或简单的"远程笔记本电脑管理”。这些职位描述被精心设计成听起来像是任何具备基本计算机知识的人都能轻松赚钱的工作，列出的职责包括"在家接收并安全存放笔记本电脑”、“根据需要开关笔记本电脑"以及"执行无法远程完成的任务”。基本要求是"有能力维护一个安全且适宜的环境来托管客户笔记本电脑”。

查普曼表示，甚至多名员工可能共用同一个身份的想法也没有让她觉得奇怪。她看过软件工程师吹嘘"工作堆叠"的YouTube视频——即获得多份远程工作，甚至将其分包给次级承包商。中华的一位同事告诉她，他联系了美国的一位就业律师，这位律师"帮他找到了一种让一群人合法地以一个人名义工作的方法”，她说。

随着笔记本电脑农场的收入增加，查普曼得以与母亲和一位因肾衰竭多次中风的表亲搬到了明尼阿波利斯的公寓。这份居家工作的性质让她能同时照顾两位亲人。“有时候我会连续工作10到12小时，“她说，“但也可能一周只需工作三小时。“但她不能长时间离开那些笔记本电脑——她必须随时注意设备重启、过热、Wi-Fi和电源故障：“我感觉自己被拴在了电脑前。”

查普曼表示，随着时间的推移，中华和他的同事们变得愈发苛刻，甚至出言不逊。他们要求她全天候待命提供技术支持，还开始让她将部分笔记本电脑寄往公司所在地中国丹东，有时还要求她购买并邮寄某些手表等他们声称在当地难以购得的物品。

某天她需要驱车45分钟去为表亲取药。途中一位叫马力的员工开始"疯狂拨打我的工作手机和个人手机，不断打电话发信息”。他要求立即处理笔记本电脑的问题。“我告诉他’必须先去取救命的药’，但他根本不在乎。直到我调转车头，他的信息轰炸才停止。“次日，她的表亲就被送进了医院。

查普曼坦言，自己向来不擅长反抗苛刻的上司。“我总忍不住讨好身边所有人，“她说，“我很难设立界限，当别人越界时，我更无力坚守。”

另一方面，曾有一段时间她感受到类似战友的情谊。情人节那天，当查普曼表示感到孤独时，一位自称凯文的员工主动提出当她一日男友，还发送了电子贺卡和鲜花。生日时她收到了中华团队声称集体凑集的1000美元，外加一个记忆棉床垫。“现在想来很蠢，但我当时确实把很多人当朋友，“她说，“当我开始怀疑他们从事不法勾当时，我曾当面质问，得到的回复总是’我们绝不会伤害你，你就像我们的妹妹’"。

最终疑虑促使查普曼咨询了律师——某种程度上算是咨询。她花费200美元通过在线平台进行咨询，询问目睹的"岗位堆叠"是否合法。她回忆律师称这是"灰色地带”，但随即强调"我并非你的代理律师，本次咨询仅作娱乐参考”。查普曼表示当时就此作罢（但据后续检方指控，她向同事转述时强化了律师警告，称其行为"可能招致牢狱之灾”）。

2022年夏，肿瘤医生判定她母亲存活期不足一年。因母亲不愿在严寒中度过最后时光，查普曼决定迁居凤凰城。此时她同时运作35至40台活跃笔记本电脑，还有员工离职留下的闲置设备。她声称提前数月告知中华公司搬迁计划，但临行时员工却施压要求取消搬家以维持工作。她首次萌生念头：“我必须摆脱这些人。”

不过最终，他们还是让步了。那年十月，查普曼租了一辆U-Haul卡车，装上笔记本电脑，驱车前往她在凤凰城郊区利奇菲尔德公园租的一栋灰泥牧场式住宅。她每月能赚5000到11000美元。“这是我人生中第一次感觉不再挣扎，“她说，“之前的工作月收入可能只有500美元。”

此时，她对工作某些环节的了解似乎已超过雇佣她的人。当NBC环球传媒有限公司为一位名叫丹尼尔·B的员工寄来笔记本电脑（该员工在流媒体服务Peacock的工作所需）时，查普曼启动电脑并安装了AnyDesk远程控制软件。根据查普曼的陈述及法庭文件佐证，NBC环球有一套复杂的入职流程，丹尼尔·B需要协助完成。

“20分钟后我们要开笔记本设置会议，“他发消息给她，“你能加入Teams会议跟着IT人员的指示操作吗？因为需要多次重启电脑，我应付不来。你可以静音只听指示，他们会全程控制屏幕，基本不需要你操作。用手机或你自己的笔记本加入会议就行。”

“我该说我是谁？“查普曼意识到视频会议突然出现第三方可能引起怀疑。

“不用出声，我也会在线的，“丹尼尔回复。

“但会显示我的名字对吧？“她追问。

“你只要静音听着，“丹尼尔坚持道，“然后按她的指示做，可能会让你重启电脑。”

“我只是输入了丹尼尔的名字，”查普曼主动说道，“如果他们问你为什么使用两台设备，就说你笔记本电脑的麦克风坏了。大多数IT人员对这个解释都能接受。”

显然他们确实如此。根据法庭文件，丹尼尔·B为NBC环球工作了至少一年，并获得了12.1万美元的报酬。NBC环球拒绝置评。

插图：Hokyoung Kim为《彭博商业周刊》绘制美国制裁令规定，若公司明知或“应知”某人是朝鲜政府资助人员仍予以雇佣，则属违法行为。但当局对追责雇佣公司毫无兴趣。相反，检方竭力维护企业受害者的声誉，在法庭文件中将其描述为“位于德克萨斯州的人才招聘公司”“底特律的财富500强标志性美国汽车制造商”以及“总部位于加州的世界知名媒体娱乐公司”。

在查普曼案中，一份未删节的搜查令申请（由《舍伍德新闻》和丹麦媒体《工程师》首次报道）披露了她涉嫌提供笔记本电脑托管服务的部分公司，包括NBC环球、凯悦酒店、贷款机构Rocket Mortgage、保险公司MassMutual以及已倒闭的汽车制造商菲斯克。与NBC类似，MassMutual对意外雇佣朝鲜特工一事不予置评；凯悦和Rocket Mortgage未回应询问。后来，耐克公司在向法院提交的受害者影响陈述中主动披露了此事。

企业没有义务向执法部门报告雇佣朝鲜IT员工的情况，而因受骗雇佣外国特工对大多数公司来说都是不愿公开讨论的尴尬事。少数公司如网络安全企业KnowBe4 Inc.曾公开披露其雇佣过疑似朝鲜特工的软件工程师。去年秋天CoinDesk Inc.记者曾曝光十余家被渗透的加密货币公司。但多数发现此类问题的企业会选择悄悄解雇员工，希望问题自行消失——披露真相可能引发投资者恐慌。

安全分析师们同样谨慎对待未经授权讨论受害客户的情况。但在笔者采访过程中，通过他们经手的匿名入侵案例，他们描述了朝鲜同事为融入环境采取的极端措施。某工业科技公司的朝鲜员工收到芝加哥全员线下邀请后，安排美国中介用公司经费购买机票，却在会议前夕以妻子生病为由爽约。此人潜伏数月才被发现。

视频会议是许多远程工作者的噩梦，但对朝鲜员工尤为棘手。他们通常以生病或网络不佳为由回避。被迫出镜时，往往使用虚拟摄像头应用，让视频看起来是从被控制的笔记本电脑传输的。时差和昼夜问题则通过降低视频分辨率解决，以网络不佳为由关闭摄像头。

一些朝鲜人会进行看似战略性的关系建立——纠缠那些从合同工转为全职员工的同事，以便弄清楚如何做到同样的事情。一位研究人员告诉我，其他人“与即将离职的同事培养关系，提供的告别信息近乎过度赞美。”他们交换联系方式，可能是希望未来获得推荐，或者只是收集钓鱼目标。

出于显而易见的原因，朝鲜人往往保持低调。然而，有时与同事建立真实联系的诱惑——“没有明显的战略利益”，正如一位研究人员指出的——变得过于强烈。他们会加入关于视频和体育的内部讨论组，尤其对排球感兴趣，这种兴趣通常包含在他们的个人资料中。

在一家大型系统集成商，一名朝鲜人度假归来，带着埃菲尔铁塔的照片。他们感谢同事在他们外出时的代班，并提供了巴黎旅行中看似合理但模糊的故事。在公司发现这名员工是朝鲜人后，调查人员重新审视了“度假照片”。这名员工只是将自己的脸换到了巴黎游客的库存照片上。

根据PScore的报告，一个倡导朝鲜统一和人权的非政府组织，被征召从事远程IT工作的朝鲜脱北者在采访中表示，每个工人团队“在部署前由一位责任重大的领导者指导，一起训练一个月。”这些团队在拥挤且高度监控的条件下生活和工作。通常同时从事几份工作，他们通宵工作10小时以跨越时区操作。PScore的研究人员发现：“他们的行动自由受到严重限制，每天只允许一次散步，每周偶尔外出一次。他们被迫在孤立的环境中长时间工作，由于压迫性的条件而承受巨大的心理压力。工人需要达到严格的月度收入目标，未能达标会导致公开羞辱和来自团队领导者的强烈心理压力。”一名脱北者报告说，他的一些前同事选择了自杀。

一些远程工作者在丹东市指定的公寓工作，这里是中朝边境的IT人才聚集地，也有人在中国内陆更深处工作。“我们追踪到几处疑似他们实际工作地点，看起来就是普通住宅区，外观相当普通的居民楼，“帕洛阿尔托网络公司的戈登克表示。IT工作者还被追踪到俄罗斯、东南亚其他国家、中东和非洲等地，有时似乎就在朝鲜大使馆内办公。查普曼称，当中华和同事们偶尔打开摄像头时，她看到成排的办公桌和厨房，看起来像是高层公寓。

IT工作者90%至95%的收入直接上缴国家。尽管如此，这些职位仍令人垂涎，因为朝鲜人极少有机会出国并赚取外汇——哪怕数额很小。即便只能留下5%到10%，这些收入也远超他们在国内的收入。戈登克估计，同时兼顾多份工作的顶尖IT人才每年能为国家创收60万至80万美元。“优秀人才忙到连大公司的高薪offer都会拒绝。但每出现一个这样的精英，我敢说就有五个连视频会议都迟到、从不提交代码的混子。”

这一切难免让人疑惑：美国同事为何不起疑？“这种威胁正是利用了人们的积极偏见——我们不愿与同事发生冲突，“戈登克说，“我们不想当面指摘。管理者希望显得自己管理有方或用人得当。“雇佣远程工作的雇主可能将异常情况归因于文化差异，也担心提出质疑会显得不近人情。“首先，多数人根本不会想到那个古怪同事可能是朝鲜人；其次，举报这种事需要极大勇气。”

插图：Hokyoung Kim为《彭博商业周刊》绘制对朝鲜人而言，将工资从美国转出需要美国中间人提供更复杂——也更危险——的协助。最简单的情况下，为代理人工作的"身份骡子"只需开设一个他们能直接操作的美国银行账户。工资以骡子名义直接存入该账户后，朝鲜人可通过关联的PayPal、Venmo账户或加密货币交易平台将资金转移至全球各地。

但当IT工作者使用盗用身份时，情况就变得复杂。由于无法亲自到场开户，远程工作者需要"资金骡子”：即愿意让陌生人借用自己账户的当地合作者。据查普曼称，钟华和Joren Jo等人曾胁迫她进行银行转账。2022年中期，法庭文件显示她曾告知Jo正在研究"需要哪种银行账户"来直接接收工人工资。“如果我的账户因处理过多大额境外转账被联邦政府标记怎么办？“她质问道，“我会惹上麻烦甚至坐牢。必须确保操作合法。“她表示曾咨询银行经理"以确认操作不会惹祸”。

“我完全理解你的顾虑，“Jo回复道，“抱歉打扰了。”

但到2023年春季，查普曼称已被迫将纸质工资支票存入个人账户。根据法庭记录，她最终通过手机应用程序存入了超过6万美元的支票，并在Payoneer Inc.和PayPal等支付平台开设账户。资金到账后，她便以"货运费"或"网页设计"等名义转入这些平台。

“我当时就懵了，‘你什么意思，你的名字完全是编的？我这么称呼你一年半多了’

那年三月，一位自称"欧文·B"的同事联系她关于寄到她家的支票。“你能找个人帮忙处理实体纸质支票吗，“他发消息说，“我愿意支付30%的手续费。问题是’欧文·B’不是真名。”

“难怪支票被银行拒收，原来是假名，“查普曼回复道，“这会让我因欺诈罪坐牢的。所以欧文这个人根本不存在？”

“对。还有操作空间吗？“欧文·B追问。

“我愿意再试一次，“查普曼说，“但我没有第二张支票。另一张始终没寄到。”

“我会向公司核实，你可以用即将到账的那张试试，“欧文·B回复，“金额约3800美元，30%作为酬劳。”

如今回忆起来，查普曼说她当时第一次震惊地发现同事身份造假。“我整个人都傻了——‘你说名字全是假的？这一年半我都在用这个名字叫你’。“她感到被欺骗，愈发确信该与中华公司等人切断联系。并非因怀疑对方是朝鲜人，而是受够了他们的颐指气使。“他们根本不尊重我，“她说。当时她母亲已大小便失禁，“当母亲需要帮助时，他们总是优先自己，比如’你必须先完成这个才能去处理那个’。有好几次我母亲不得不坐在排泄物里等半小时到45分钟，就因为他们不肯给我十分钟处理。”

然而，此时她已完全依赖这份工作来支付每月3500美元的房租、食物、空调费用以及母亲的医疗护理。根据法庭文件记录，她向远程工作者收取"登录美国公司笔记本电脑、连接美国公司网络、下载远程访问软件、为海外IT人员远程连接笔记本电脑、提供技术支持、笔记本保管与寄送，以及安排付款转账"等服务费。两年间这些费用总计超过17.6万美元。

2023年4月19日，她在TikTok上告诉粉丝们母亲只剩最后几天生命。“我只是需要找人倾诉，“她说，“我身边没有多少亲人。“当母亲在次日凌晨离世时，她彻底崩溃了。即便如此，她说笔记本电脑农场又发来新的需求。“我必须在医院处理完一些事情才能回家，“她说。但有些人已经开始冲她吼叫，“用全大写字母写着’立刻给我开机’和’你现在必须马上回家！’”

查普曼一直是社交媒体上的高产博主，用视频记录日常挣扎与小胜利。母亲去世后，她在TikTok上寻求慰藉与共鸣。6月6日，她发布了最新一期饮食监督挑战视频——这是TikTok上的热门内容（该挑战要求公开记录每日饮食）。“大家好，“视频开场她说道，“今天是第7天，今早没自己做早餐。客户们快把我逼疯了，所以只买了碗冰沙。”

但这段42秒的视频之所以引人注目——至少对即将成为其观众的FBI探员而言——在于它的背景。查普曼身后裸露房间的金属架上，摆放着至少10台打开的笔记本电脑。根据联邦当局后续提交的搜查令申请，这些电脑"似乎正在运行”。当查普曼转动镜头时，其中一台笔记本屏幕发生变化，仿佛正被远程操控。

插图：Hokyoung Kim为《彭博商业周刊》绘制截至2023年夏季，当局仍未察觉异常，但查普曼的担忧与日俱增。那年八月，她向同事抱怨持续要求她填写雇佣表格：”[将来]希望你们找别人处理实体I-9表格”，她在群聊中写道，“这些都是联邦文件。我可以帮你们寄送，但让别人来做文书工作。伪造联邦文件会让我进联邦监狱的。“同月，她记得接到加州某公司的电话，这家公司曾因远程员工离职而收到她退回的笔记本。对方质问为何这已是她代他人退回的第二台设备。查普曼称自己迅速挂断电话，再未收到该公司联系。

此时她开始感到同事的威胁。她回忆其中一人声称要搬来同住"确保我守规矩”；另一人派当地"朋友"上门取笔记本——对方甚至无需询问地址。她把电脑放在门阶上，自己躲进屋内。她说曾咨询律师如何与公司切割，但律师要求预付1万美元定金。最终她在Craigslist上按小时雇了两名"助理”，协助自己转行。

那时已经为时已晚。那年九月，联邦调查局收到Palo Alto Networks关于某公司无意中雇佣了朝鲜人的线报。不久后，这家安全公司发布博客文章，概述了此类活动中使用的策略。法庭文件中未提及受害公司名称。但最近，我在查阅另一起案件的搜查令申请时发现，该申请连续描述了受害者和那篇博客文章，从而揭示了一个令人惊讶的细节——这一细节得到了了解事件内情的消息人士证实，该人士因未获授权公开讨论此事而要求匿名。受害者并非Palo Alto Networks的客户，而是Palo Alto Networks自身。

根据搜查令申请，Palo Alto曾收到另一家公司的警告，该公司雇佣了Palo Alto的一名承包商，告知该安全公司这名承包商最近从朝鲜IP地址更新了领英资料。当Palo Alto深入调查时，发现这名员工似乎是通过劳务公司引入的至少九名朝鲜人之一。调查还发现，其中三人使用了寄往查普曼亚利桑那州地址的电脑。（Palo Alto今年早些时候曾安排我采访其研究员Evan Gordenker，但未提及自身在此案中的角色。当我询问关于Palo Alto自身是受害者一事的评论时，该公司停止了回应。）

2023年底，查普曼前往加利福尼亚参加音乐会——就像几个月前去日本那样——短暂地将她的笔记本电脑农场交给Craigslist上雇佣的助手管理。她离开期间，其中一名女性发消息告诉她FBI探员正在她家中。“我的天塌了，“她说。她给Zhonghua发消息，对方让她删除手机里所有内容。她说她开始照做，但随后改变了主意。FBI在她家中发现了90多台电脑，全部在远程操作。

特工们在查普曼回国下飞机时拦截了她，没收了她的电子设备但并未逮捕她。次日，她表示联邦调查局探员在她家中进行了长达一个半小时的询问，期间没有律师在场。她称对方从未提及朝鲜，也未提出让她配合追踪钟华（音）及其他同伙的可能性。“我本会毫不犹豫地协助，“她说，“在他们对我做出这一切之后。“代理美国检察官皮罗拒绝置评。

据帕洛阿尔托网络公司博客文章披露，一个月后其研究人员偶然发现朝鲜IT工作者遗留在GitHub上的一批文件。其中包括"伪造多国公民身份的虚假简历"和"美国企业IT职位招聘帖的副本”。部分文件含有朝鲜语密码（某些词汇仅朝鲜使用），显示作者确实获得过这些职位。根据搜查令申请材料，其中三份工作"后经商业记录证实，与查普曼住所查获的电脑存在关联”。

查普曼称，在联邦探员告知将再次约谈后，她将自己封闭在与室友及五只茶杯吉娃娃迷你杜宾混种犬合住的家中。2024年5月8日，探员们终于带着约六辆警车返回，用扩音器命令她出来。“我当时又惊又怕，头晕目眩，直接瘫倒在人行道上，“她回忆道。随后她被逮捕并关押至联邦拘留所。

华盛顿特区的联邦检察官以电汇欺诈、银行欺诈、洗钱及"非法雇佣外籍人员"等罪名起诉查普曼。检方最终指控该阴谋涉及盗用60名真实美国公民身份，渗透超过300家美国公司，为朝鲜创收1710万美元。

司法部起诉书将查普曼描绘成积极参与的共犯。她辩称当局只关注其认罪内容，却无视胁迫因素——“那些我反复说不却遭施压的对话”。

除查普曼外，仅有三名使用中国化名的丹东收件人被起诉，这些疑似朝鲜籍人士几乎不可能被捕。这类"点名羞辱"式起诉中，司法部坦言无法核实伪冒身份者的真名。“确实令人沮丧，“皮罗谈及执法局限时表示，“但这为我们开启了更深入调查的契机。”

查普曼最初对所有指控拒不认罪，并持续在社交媒体活跃。她发布数十支搭配音乐的脸部特效视频，配文"一起来嗨！！"。既有感恩视频，也记录心理健康微进展（“真的非常微小，“她在片段中调侃，“比如把卫生纸卷…装回了支架”）。

到了夏末，她似乎又回到了多年前收到那封领英陌生私信前的起点。“生活给了我一个意外的打击，“她在8月创建的GoFundMe页面上写道，“我失去了我的家。“她试图筹集7000美元偿还利奇菲尔德房产的债务判决，再筹7000美元重整旗鼓。所有帖子都未提及她的起诉，但她现在表示逮捕记录已出现在背景调查中。在帮助过那么多工人获得并保住工作后，她自己却找不到工作。到十月时，她已住进女性收容所。

当我追踪她联邦案件缓慢推进的过程时，不断想起DTEX公司巴恩哈特告诉我的事——客户公司询问是否真需要解雇那些被发现的朝鲜员工。对某些人而言，这种IT工作者骗局可能很难被视为银行抢劫或加密货币黑客那样的重罪。确实，被盗身份正被用于资助朝鲜的火箭计划，但从某个角度看，这听起来像是全球化的代价。企业以效率之名外包IT工作，朝鲜特工只需说"我们能胜任这些工作”——一个通过民主国家技术支持获得资金的独裁政权。

但与我交谈的安全分析师认为，这些远程工作骗局除了越来越多以勒索和数据盗窃收场外，可能是更宏大行动的序曲。“出于某种原因，他们保持着某种克制，“戈登克说，“我不明白为什么他们不总是植入恶意代码，为什么不总是窃取更多数据。”

已有迹象表明存在更险恶的企图。根据法庭文件，在查普曼协助下运作的求职者曾成功入职美国总务管理局、联邦保护局（国土安全部下属负责保卫政府设施的部门）及移民与海关执法局。在后两个机构中，当被要求提供指纹时他们选择了放弃。而在总务管理局，一名在表格中将查普曼登记为配偶的海外员工参加了数场会议却始终沉默，随后悄然消失。

据查普曼陈述及法庭文件佐证，中化集团一名人员通过承包商入职波音公司后，曾委托她协助从当地办公室领取工牌（她将工牌留在了相关笔记本电脑上）。“我亲眼见证他们试图获取涉密职位，”巴恩哈特表示，“这些人已渗透进国防工业基地和政府机构。若让他们获得权限，可能造成严重破坏。”波音公司拒绝置评。

好消息是，只要意识到问题所在就找到了解决之道。“一旦知道筛查标准，我认为甄别这些人并不困难，”Secureworks公司的皮林指出。皮罗建议雇主可要求应聘者携带笔记本电脑摄像头到户外验证实时位置。“美国企业只需提高用人标准，加强尽职调查，”她强调，“这是零成本的防护措施。”但朝鲜方面很可能持续调整策略。谷歌威胁情报小组研究显示，该国IT工作者骗局已蔓延至欧洲。今年二月，OpenAI宣布封禁来自朝鲜和中国的可疑账户，这些账户利用ChatGPT生成简历、求职信和社交媒体帖子，用于招募类似查普曼这样的协助者。

同月，查普曼通过Zoom从亚利桑那州参加了华盛顿特区法庭听证会，并将抗辩改为认罪。她表示这似乎是唯一可行的选择。她签署了一份"犯罪事实陈述”，概述了她参与该计划的情况，包括承认自己明知违法的事实。

然而，即使在政府概述其罪行的量刑备忘录中，检察官也指出查普曼仍称她曾效力的"公司"是"合法的”。“尽管已向本法庭认罪，“他们写道，“被告似乎并未完全认识到自己在犯罪阴谋中的罪责程度。”

7月24日，她被判处八年半监禁。多年前，中华曾承诺让查普曼成为公司的门面。在美国当局的"协助"下，他终于兑现了这个承诺。

五月的某个下午，我在凤凰城南部的过渡教习所接出查普曼，她在等待量刑期间居住于此。她已无家无车，只能乘坐教习所的面包车往返于心理健康门诊课程。她说参加这些课程是为了增强心理韧性。她预计将入狱服刑，对可能面临的狱中欺辱充满恐惧。“这对我来说完全是未知领域，“她说。

我们在酒店大堂交谈数小时，回顾她的人生。她说除了治疗课程，自己已数月未踏出过渡教习所。被捕前认识的人大多已离她而去；其他朋友熟人，则是她自己主动断联。“我不想让他们难堪，“她说，“我为自己感到羞愧。“她甚至收到过来自家族成员的死亡威胁——那些人看过新闻报道，似乎真把她当成了背叛国家的朝鲜特工。

在我们的交谈中，她的态度在看似接受现状与悲叹命运之间摇摆不定，有时甚至泪流满面。“我内心有一部分至少对曾经获得的收入心存感激，”她一度说道，“在母亲生命的最后几年里，我帮她卸下了不少重担。”但当意识到真实身份被盗用的人们深受其害时，她陷入了深深的自责。“成为伤害他人的组织一员——我永远无法原谅自己，”她说，“我现在才明白当初相信那些人鬼话的自己有多愚蠢。”

她指出，那些雇佣朝鲜人的公司拥有足够的资金和律师团队，能确保法律体系将他们视为匿名受害者。“我知道自己很天真，”她说，“尽管参与了其中，但我觉得自己也是受害者。”

走向停车场的路上，她近乎不经意地提到最近收到一封陌生邮件，对方用昵称“赛拉”称呼她。“你是谁？”她回复道。

“还记得ZH吗？”对方回答。

“ZH？”

“我是中华。”

后来她向我展示了邮件内容。对方称自己刚结束“长途旅行”，并“从朋友那里听说了你的不幸”。但他带着新计划联系她：“我要和你一起重振我的小生意，”他写道，“这次绝对安全。如果愿意，请联系我。”她始终无法确定对方是真心邀她合作，还是仅仅试探风头是否过去。她告诉我，自己将此事告知律师后，选择了沉默。