以下是朝鲜黑客如何在制裁下仍然获得加密货币支付的方式

TRM Labs表示，北朝鲜的IT工作者在为区块链初创公司秘密工作期间，已经洗钱了数百万的USDC和USDT。

北朝鲜继续依赖加密货币来悄悄资助其武器项目，而美国政府正加大力度来制止这一行为。7月8日，美国财政部外国资产控制办公室对一名北朝鲜黑客宋金赫实施了制裁，他们表示该黑客帮助组织了一项涉及在不知情的科技和加密公司中进行虚假远程工作的广泛计划。

根据区块链取证公司TRM Labs的最新报告，宋与安达利尔（Andariel）有关，安达利尔是朝鲜军事情报部门的一支网络犯罪单位。他们解释说，他在将IT工人（大多数实际上是朝鲜特工）安置到美国公司的工作中发挥了关键作用，使用的是被盗的美国身份和伪造的文件。

许多这些工作是在web3、加密基础设施或区块链相关的软件开发中。

TRM Labs表示，这些工人从中国和俄罗斯等国家操作，同时假装是美国的自由职业者。他们以稳定币支付，例如USD Coin (USDC)和Tether (USDT)。随后，这笔钱似乎通过多个钱包、混合器和兑换服务流转，最终落入朝鲜政权手中。

“财政部仍然致力于利用所有可用工具，破坏金氏政权通过数字资产盗窃、企图冒充美国人和恶意网络攻击来规避制裁的努力。”

财政部副部长，迈克尔·福尔肯德

TRM Labs的分析师指出，这只是朝鲜侦察总局——同样是拉扎鲁斯和Bluenoroff背后的机构——仍在利用网络战术支持军事目标的最新迹象。他们提到，财政部官员一直在警告，加密货币盗窃和身份欺诈仍然是朝鲜规避经济压力的核心策略。

分析师解释说，OFAC揭露的计划在很大程度上依赖于虚假身份。宋被指控负责建立这些虚假身份，使用来自真实美国公民的被盗数据。一旦被雇佣，北朝鲜特工可能在美国公司以假名工作数月甚至数年。

他们还指出，OFAC制裁了四家公司和与一个与俄罗斯有关的网络相关的另一名人士，该网络涉嫌帮助管理这些虚假的IT工作。这些企业据报道与与朝鲜有关的公司签订了长期合同，并且知道他们在与朝鲜工人打交道。

许多工人专门瞄准了加密行业的工作，因为那里支付更容易匿名。一旦收到加密货币，TRM Labs的分析师表示，这些加密货币被分散到多个钱包中，最终通过场外交易经纪人转换为法币，其中一些曾经受到制裁。

网络联盟

最新的OFAC行动是继美国多个机构，包括司法部和联邦调查局的一系列协调行动之后的。2025年6月5日，司法部还提起了一项民事没收诉讼，寻求没收超过770万美元的加密货币、NFT和其他被认为与同一朝鲜网络相关的数字资产。

TRM Labs表示，这些工作人员使用“Joshua Palmer”和“Alex Hong”等身份在加密初创公司和其他科技公司获得雇佣。他们以稳定币支付，收益通过中心化交易所、自托管钱包，然后转给像Kim Sang Man和Sim Hyon Sop这样的高级政权人物，他们都已受到美国制裁。

根据分析师的说法，司法部的调查揭示了该行动的部分依赖于位于俄罗斯和阿联酋的基础设施。调查人员发现使用了当地的IP地址和伪造的文档，这帮助朝鲜工人隐藏了他们的真实身份。他们表示，这突显了该计划变得多么国际化。

与朝鲜IT工作人员钱包相关的链上活动 | 来源：TRM LabsTRM审查的区块链数据表明，一旦资金达到中级钱包，这些资金就会被分成小部分，通过隐私增强工具进行路由，最终通过场外交易（OTC）桌子兑换成法币。其中一家OTC经纪商在2024年底已被OFAC制裁。

关于执法工作，FBI及其他机构成功扣押了部分洗钱的数字资产，包括USDC、ETH和一些高价值的NFT。分析师将这些扣押描述为更广泛洗钱策略的一部分，旨在打破资金链，使侦查变得更加困难。

TRM Labs表示，美国政府最近的行动传达了一个信息，即加密货币仍然是一个高风险的制裁规避渠道，尤其是涉及朝鲜的操作时。这家区块链情报公司警告称，雇佣远程开发人员的公司——尤其是在区块链领域——需要特别小心，验证他们真正交易的对象。