*本文已自动翻译。请以原文内容为准。
朝鲜科技人员持续渗透全球科技公司,并以加密货币等形式获取收入,用于资助朝鲜生产大规模杀伤性武器和弹道导弹。过去几年,包括美国财政部外国资产控制办公室 (OFAC) 和韩国外交部 (MOFA) 在内的监管机构已对参与此类活动的个人和组织实施制裁。制裁名单中通常包含加密货币地址作为标识符。
Chainalysis 正在密切追踪针对朝鲜 IT 工作者计划的制裁名单中新增加密货币地址的情况,以及有关此威胁的开源情报。我们正在监测朝鲜使用加密货币创收、转移和聚集资金,以及通过在主流交易所和可能不受监管的场外交易 (OTC) 经纪商处使用虚假账户进行洗钱的情况。
最近的监管执法行动包括美国海外资产控制办公室(OFAC)于2025年8月对协助向朝鲜Chinyong信息技术合作公司(Chinyong,又称金永IT合作公司)付款的俄罗斯公民实施的制裁。Chinyong因在海外雇佣朝鲜IT员工,于2023年5月受到OFAC和韩国外交部的制裁。
2023年初,美国财政部海外资产控制办公室(OFAC)对韩国光鲜银行(KKBC)代表沈铉燮(Sim Hyon Sop,简称Sim)实施制裁,并指定了他的加密货币地址。Sim收受了数千万美元的加密货币,其中包括朝鲜IT员工的部分收益。他的同行卢华英(Lu,居住在阿联酋的中国公民)也因参与为朝鲜政权洗钱而受到制裁。
这些活动凸显了严重依赖加密货币来创造和洗钱的复杂网络,为执法部门创造了机会。正如美国司法部(DOJ)最新的扣押令所表明的那样,先进的区块链分析技术提供了独特的洞察力和有效的工具,可以检测和摧毁由IT人员运营的非法洗钱网络。
本博客介绍了朝鲜IT人员用于获取和洗钱的网络、机制和操作。了解这些网络有助于执法部门、监管机构和私营公司检测链上IT人员的活动,并阻断流向大规模杀伤性武器(WMD)项目的资金。
从加密资产中赚取收入
朝鲜IT从业者通常通过Chinyong等中介机构被派往海外,申请世界各地IT公司的职位。他们使用各种混淆手段来隐藏自己的位置和身份,包括虚拟专用网络(VPN)、伪造或盗用的身份证件,以及人工智能语音和面部识别技术。
一旦受雇,他们就会要求以稳定币支付,稳定币价值稳定,深受场外交易 (OTC) 交易员的欢迎。对朝鲜 IT 工作者支付地址相关的链上活动进行检查后发现,这些钱包每月定期收到约 5,000 美元的款项,这表明这些款项是工资支付。
通过区块链技术隐藏收入
朝鲜IT从业人员收到工资后,会使用多种洗钱手段转移加密资产。跳链和代币兑换是IT从业人员和洗钱者在链上分离资金来源和去向的几种方式。他们还利用去中心化交易所(DEX)和桥接协议等智能合约,使资金追踪变得困难。
下面的 Chainalysis Reactor 图表显示了如何使用去中心化协议、桥梁和流行的交易所来隐藏资金流动。
朝鲜IT工作者还利用中介机构协助洗钱,最终将资金转移到朝鲜。根据美国司法部的资金扣押令,这些IT工作者的付款资金与其他犯罪所得以及朝鲜IT工作者的资金混杂在一起,并转移到使用虚假身份在主流交易所开设账户的朝鲜政府官员手中。
朝鲜洗钱者经常使用虚假身份开设交易所账户,而在其他国家运营的洗钱者则经常使用真实姓名。根据美国司法部的命令,Sim使用了伪造的俄罗斯身份证,而Lu则以自己的姓名和阿联酋居留卡在FTX(现已关闭)开设了一个账户。
扣押令还指出,属于朝鲜IT工作者的资金被转移给了Chinyong代表金尚万(KIM)、隶属于KKBC的沈贤燮(SIM)以及场外交易员卢(Lu),卢因在2024年12月利用阿联酋的一家幌子公司向平壤转移非法资金而受到制裁。
下面的反应堆图表显示了从朝鲜 IT 工作者到 KIM 的交易账户和 SIM Lu 运营的非托管钱包的资金流动。
将收益转换为法定货币
朝鲜IT工作者将收入通过区块链洗白,并转交给朝鲜政权特工后,这些资金通常会通过主流交易所或场外交易(OTC)经纪商的虚拟账户兑换成法定货币。下图清晰地展现了SIM严重依赖卢某为朝鲜政权洗钱的现象。
应对加密货币洗钱网络的措施及经验教训
近期美国海外资产控制办公室(OFAC)的认定和司法部的扣押令凸显了国际社会对朝鲜IT劳工计划以及破坏其金融网络的努力日益严格的限制。从其贡献者到其基础设施和中介机构,这些网络将继续成为执法部门的首要目标。
英国财政部OFSI和美国联邦调查局互联网犯罪投诉中心发布的警告概述了私营公司应监控和识别的危险信号。关键危险信号包括身份、位置和证书不匹配、使用匿名基础设施、支付流程异常以及存在隐瞒行为。通过检查链上和链下指标,IT行业参与者可以为破坏这些金融渠道做出重大贡献。
企业要想识别朝鲜IT员工的活动,需要进行特定的检查,例如:IP地址与申报地址不符、身份信息被篡改、拒绝进行视频通话或使用人工智能生成的个人资料、偏好使用稳定币付款、要求向多个钱包分期付款、要求复杂的第三方支付,以及与高技术技能相比薪酬低于市场水平。企业可以通过将这些检查纳入合规系统,并详细记录与承包商的互动,避免在不知情的情况下协助朝鲜逃避制裁的风险。
本网站包含指向不受 Chainalysis, Inc. 或其关联公司(统称“Chainalysis”)控制的第三方网站的链接。访问此类信息并不意味着 Chainalysis 与该网站或其运营商有任何关联,亦不代表 Chainalysis 对其背书、认可或推荐,并且 Chainalysis 对其中托管的产品、服务或其他内容不承担任何责任。
本材料仅供参考,不旨在提供法律、税务、财务或投资建议。接收者在做出此类决定之前,应咨询其顾问。Chainalysis 对接收者在使用本材料时做出的任何决定或任何其他作为或不作为不承担任何责任。
Chainalysis 不保证或担保本报告中信息的准确性、完整性、及时性、适用性或有效性,并且不对因该等材料任何部分的错误、遗漏或其他不准确之处而引起的任何索赔负责。
《朝鲜 IT 工作者的加密货币洗钱网络内幕》一文最先出现在Chainalysis上。
