*本文已自動翻譯。請以原文內容為準。
朝鮮科技人員持續滲透全球科技公司,並以加密貨幣等形式獲取收入,用於資助朝鮮生產大規模殺傷性武器和彈道導彈。過去幾年,包括美國財政部外國資產控制辦公室 (OFAC) 和韓國外交部 (MOFA) 在內的監管機構已對參與此類活動的個人和組織實施制裁。制裁名單中通常包含加密貨幣地址作為標識符。
Chainalysis 正在密切追蹤針對朝鮮 IT 工作者計劃的制裁名單中新增加密貨幣地址的情況,以及有關此威脅的開源情報。我們正在監測朝鮮使用加密貨幣創收、轉移和聚集資金,以及通過在主流交易所和可能不受監管的場外交易 (OTC) 經紀商處使用虛假賬戶進行洗錢的情況。
最近的監管執法行動包括美國海外資產控制辦公室(OFAC)於2025年8月對協助向朝鮮Chinyong信息技術合作公司(Chinyong,又稱金永IT合作公司)付款的俄羅斯公民實施的制裁。Chinyong因在海外僱傭朝鮮IT員工,於2023年5月受到OFAC和韓國外交部的制裁。
2023年初,美國財政部海外資產控制辦公室(OFAC)對韓國光鮮銀行(KKBC)代表沈鉉燮(Sim Hyon Sop,簡稱Sim)實施制裁,並指定了他的加密貨幣地址。Sim收受了數千萬美元的加密貨幣,其中包括朝鮮IT員工的部分收益。他的同行盧華英(Lu,居住在阿聯酋的中國公民)也因參與為朝鮮政權洗錢而受到制裁。
這些活動凸顯了嚴重依賴加密貨幣來創造和洗錢的複雜網絡,為執法部門創造了機會。正如美國司法部(DOJ)最新的扣押令所表明的那樣,先進的區塊鏈分析技術提供了獨特的洞察力和有效的工具,可以檢測和摧毀由IT人員運營的非法洗錢網絡。
本博客介紹了朝鮮IT人員用於獲取和洗錢的網絡、機制和操作。瞭解這些網絡有助於執法部門、監管機構和私營公司檢測鏈上IT人員的活動,並阻斷流向大規模殺傷性武器(WMD)項目的資金。
從加密資產中賺取收入
朝鮮IT從業者通常通過Chinyong等中介機構被派往海外,申請世界各地IT公司的職位。他們使用各種混淆手段來隱藏自己的位置和身份,包括虛擬專用網絡(VPN)、偽造或盜用的身份證件,以及人工智能語音和麵部識別技術。
一旦受僱,他們就會要求以穩定幣支付,穩定幣價值穩定,深受場外交易 (OTC) 交易員的歡迎。對朝鮮 IT 工作者支付地址相關的鏈上活動進行檢查後發現,這些錢包每月定期收到約 5,000 美元的款項,這表明這些款項是工資支付。
通過區塊鏈技術隱藏收入
朝鮮IT從業人員收到工資後,會使用多種洗錢手段轉移加密資產。跳鏈和代幣兌換是IT從業人員和洗錢者在鏈上分離資金來源和去向的幾種方式。他們還利用去中心化交易所(DEX)和橋接協議等智能合約,使資金追蹤變得困難。
下面的 Chainalysis Reactor 圖表顯示瞭如何使用去中心化協議、橋樑和流行的交易所來隱藏資金流動。
朝鮮IT工作者還利用中介機構協助洗錢,最終將資金轉移到朝鮮。根據美國司法部的資金扣押令,這些IT工作者的付款資金與其他犯罪所得以及朝鮮IT工作者的資金混雜在一起,並轉移到使用虛假身份在主流交易所開設賬戶的朝鮮政府官員手中。
朝鮮洗錢者經常使用虛假身份開設交易所賬戶,而在其他國家運營的洗錢者則經常使用真實姓名。根據美國司法部的命令,Sim使用了偽造的俄羅斯身份證,而Lu則以自己的姓名和阿聯酋居留卡在FTX(現已關閉)開設了一個賬戶。
扣押令還指出,屬於朝鮮IT工作者的資金被轉移給了Chinyong代表金尚萬(KIM)、隸屬於KKBC的沈賢燮(SIM)以及場外交易員盧(Lu),盧因在2024年12月利用阿聯酋的一家幌子公司向平壤轉移非法資金而受到制裁。
下面的反應堆圖表顯示了從朝鮮 IT 工作者到 KIM 的交易賬戶和 SIM Lu 運營的非託管錢包的資金流動。
將收益轉換為法定貨幣
朝鮮IT工作者將收入通過區塊鏈洗白,並轉交給朝鮮政權特工後,這些資金通常會通過主流交易所或場外交易(OTC)經紀商的虛擬賬戶兌換成法定貨幣。下圖清晰地展現了SIM嚴重依賴盧某為朝鮮政權洗錢的現象。
應對加密貨幣洗錢網絡的措施及經驗教訓
近期美國海外資產控制辦公室(OFAC)的認定和司法部的扣押令凸顯了國際社會對朝鮮IT勞工計劃以及破壞其金融網絡的努力日益嚴格的限制。從其貢獻者到其基礎設施和中介機構,這些網絡將繼續成為執法部門的首要目標。
英國財政部OFSI和美國聯邦調查局互聯網犯罪投訴中心發佈的警告概述了私營公司應監控和識別的危險信號。關鍵危險信號包括身份、位置和證書不匹配、使用匿名基礎設施、支付流程異常以及存在隱瞞行為。通過檢查鏈上和鏈下指標,IT行業參與者可以為破壞這些金融渠道做出重大貢獻。
企業要想識別朝鮮IT員工的活動,需要進行特定的檢查,例如:IP地址與申報地址不符、身份信息被篡改、拒絕進行視頻通話或使用人工智能生成的個人資料、偏好使用穩定幣付款、要求向多個錢包分期付款、要求複雜的第三方支付,以及與高技術技能相比薪酬低於市場水平。企業可以通過將這些檢查納入合規系統,並詳細記錄與承包商的互動,避免在不知情的情況下協助朝鮮逃避制裁的風險。
本網站包含指向不受 Chainalysis, Inc. 或其關聯公司(統稱“Chainalysis”)控制的第三方網站的鏈接。訪問此類信息並不意味著 Chainalysis 與該網站或其運營商有任何關聯,亦不代表 Chainalysis 對其背書、認可或推薦,並且 Chainalysis 對其中託管的產品、服務或其他內容不承擔任何責任。
本材料僅供參考,不旨在提供法律、稅務、財務或投資建議。接收者在做出此類決定之前,應諮詢其顧問。Chainalysis 對接收者在使用本材料時做出的任何決定或任何其他作為或不作為不承擔任何責任。
Chainalysis 不保證或擔保本報告中信息的準確性、完整性、及時性、適用性或有效性,並且不對因該等材料任何部分的錯誤、遺漏或其他不準確之處而引起的任何索賠負責。
《朝鮮 IT 工作者的加密貨幣洗錢網絡內幕》一文最先出現在Chainalysis上。
