黑客攻擊手法不斷進化，近日有網絡安全公司發現，北韓黑客正捨棄傳統的直接入侵手法，改用更具滲透力的網絡欺詐手段，導致網絡安全風險上升。

Sophos最新報告指出，與北韓相關的網絡威脅行為出現明顯變化，當地黑客捨棄傳統的直接入侵手法，改用更具滲透力的網絡欺詐手段。如黑客透過偽造身份及提交虛假求職資料，從而加入目標企業工作，當中更包括網絡安全等高風險職位，務求滲透企業內部系統，以進行長期部署。

涉案黑客利用人生成式人工智能技術虛構履歷及專業背景，並配合高度隱蔽的遙距存取工具，在不被發現的情況下持續入侵內部系統，同時騙取工資支援北韓政權於經濟及戰略上的目標。Sophos 的反網絡威脅部門（CTU）指，該類攻擊已對企業構成長期威脅，並將該組織命名為「NICKEL TAPESTRY」。

Sophos CTU觀察到，2025年NICKEL TAPESTRY的行動正持續加劇，例如擴大攻擊目標範圍，隨着美國市場對虛假求職者的警覺性提升，歐洲及日本的機構已成為新一輪主要攻擊對象。黑客將冒充不同國籍的身份申請職位，並滲透至多個行業，包括網絡安全領域。

同時，黑客除了為北韓政府賺取薪資，亦愈趨活躍於盜取數據，以進行勒索等惡意活動。NICKEL TAPESTRY也採用更先進的技術以避開系統偵測，如利用生成式AI技術偽造履歷及個人檔案、部署先進的遙距存取工具，以及運用多種能繞過安全防護系統的黑客技術。此外，他們亦冒充女性身份，以提高滲透成功率。

Sophos表示，企業在誤聘假冒員工後，可留意一些常見的可疑徵兆包括：

• 涉事員工於同一部電腦上安裝多個遙距監控與管理（RMM）工具
• 長時間（超過 8 小時）進行Zoom屏幕共享通話
• 員工堅持使用個人電腦而非公司提供的

美國外交分析家德佩特里(Daniel DePetris)今年10月收到華府智庫網站「北緯38度」(38 North)主任珍妮‧湯(Jenny Town)的邀稿電郵時，看來沒不妥，但其實不然，網絡安全專家指，發信的很可能是蒐集情報的北韓間諜。

寄件人不以黑客常用手法，讓電腦感染病毒並且竊取敏感資料，而是似乎想假扮珍妮‧湯，試圖誘騙德佩特里針對北韓安全議題，發表看法。

德佩特里接受路透社訪問稱：「我其後再詢問對方(珍妮‧湯)，便發現根本沒有邀稿的事，而且對方也遭到鎖定，就知道那是假的，所以很快就判斷這是大規模(黑客)活動。」。

根據網絡安全專家、遭到鎖定的5名個人以及路透社所檢視的電郵內容，寄出類似電郵，研判是疑似北韓黑客組織的新手法。

黑客誘騙專家發表對北韓議題看法
該北韓黑客組織被研究員稱為「Thallium」或「Kimsuky」，長期使用「魚叉式網絡釣魚」電郵來竊取密碼，或誘使人點選會下載惡意程式連結等方法。現在，他們假冒他人發電郵，直接請研究人員或專家，發表看法或撰寫報告。

根據路透社檢視過的電郵，他們提出的問題還包括，北韓可能再度核試，中國對此將有何反應，以及應否對北韓的「挑釁」採取「更溫和」做法等。

微軟旗下威脅情報中心(Threat Intelligence Center)的埃利奧特(James Elliott)直指，「攻擊者以非常、非常簡單的這一招常勝」，最早於1月發現這種新手法，「攻擊者已徹底地改變做法法」。威脅情報中心指，已確定向「Thallium」攻擊帳號提供情報的多名北韓專家的身份。

網絡安全專家指出，遭到這波攻勢鎖定的專家和分析家們，在塑造國際對北韓輿論和外國政府對北韓政策上都具影響力。

美國政府網絡安全機構2020年發表報告指，「Thallium」自2012年起開始運作，「最有可能(執行的)是北韓政權委以蒐集全球情報的任務」。