近万名朝鲜远程IT工作者，正在美国公司里边上班，为祖国赚取外汇。这个事情就是这么魔幻。

大家好，欢迎收听老范讲故事的YouTube频道。美国IT公司里边，真的是各种牛鬼蛇神。前几天我们刚刚讲过，AI初创公司里边上班的印度幽灵程序员。一位印度小哥，在印度参加美国IT公司的这种远程面试，然后在一堆的公司里边上班，领了薪水不干活。

我的一位朋友叫隐枫视野，隐藏的枫树。他呢，录了一期节目，第401期《美国防部云平台技术支持来自中国真相大揭秘》，大家可以去看一看。他讲的什么？微软呢，整了一个叫数字守卫的项目，什么意思呢？就是在中国境内的中国籍工程师，替美国国防部买了微软云的这些部门，去进行IT维护。同时呢，他找了一帮，能够通过安全认证的美国籍公民，但是这些人呢，又没有技术能力，去看着这些在中国境内的中国籍工程师，一起来去完成美国国防部电脑的维护工作。

看了这么奇葩的一个事情，现在在美国请到的这些，具有美国国籍的安全上过关的人，一个小时的时薪，大概跟麦当劳的收银员差不太多。很多人就质疑说，微软，你这样看着能看得过来吗？你比如说，这人进去修空调，你能看得过来，但是这个人在里边调云服务器，这不是开玩笑吗？这也是一个牛鬼蛇神的故事。

今天咱们要讲的是什么呢？就是朝鲜呢，有一个叫做远程IT创汇组的一个机构，派了大量的员工，在美国IT公司里边上班，替朝鲜创汇。这个东窗事发是怎么事发的呢？这种事情，如果没有人揭露的话，街上有人跟你说，你都不能信的吧。

它是由美国司法部（DOJ）和FBI披露的，几起朝鲜IT远程就业的案件。2025年6月30日，佐治亚州、马萨诸塞州，两起起诉书，4名朝鲜籍工程师，加上美籍华裔兄弟和中台共犯8人，查处了9处laptop farm，就是笔记本农场，冻结了29个账户。有些是台湾人，有些呢是华裔。他们在美国给这些朝鲜工程师提供，叫笔记本农场。这个团队呢，窃取了虚拟货币90万美金，造成了企业额外支出了300万美金以上的这种损失。

亚利桑那州有一个叫Chapman，这应该是一个人的名字吧。他经营了90台公司笔记本，为309家美国企业雇佣朝鲜人，提供登陆的证明，以及呢薪资的通道，三年创收了1,710万美金，多数汇往了朝鲜民主主义人民共和国，北朝鲜的完整的名字是这样。

这些人主要从事什么样的工作呢？第一个是软件开发工程师，应该是主要从事应用开发、后端服务开发、全栈开发等工作。由于朝鲜在软件开发方面，培养了大量的技术人才，这些雇员能够在全球范围内，为公司提供代码编写和开发服务。他们常见的技能是C、C++、Python、Javascript、Go和Ruby等常见的编程语言，常用开发框架和工具。

第二类呢，是网络安全专家，负责公司的网络防护、漏洞分析、渗透测试与安全加固等等，包括企业的防御架构设计、入侵检测以及防御性操作。这个玩意真的是请狼入室了吗？

第三个，加密货币专家、区块链开发者，担任加密货币交易平台的开发、加密钱包的开发、区块链技术的知识等职位。常见的技能：区块链开发、智能合约编程、加密货币挖矿、钱包安全等等。

最后呢，是数据分析师和数据库管理员，通常涉及数据库管理、数据存储、数据清洗与分析。常见的技能是SQL和非SQL，就是SQL和非SQL的数据库，比如像MongoDB这样数据库，数据分析工具等等。

哪些公司中招了呢？第一个是大量的IT外包公司；第二个呢，是金融和加密货币平台，像什么币安，他们都雇佣了朝鲜的远程工作人员；大型的技术公司，尤其是网络安全相关的这些公司。当然，最大的这些，什么微软、谷歌、亚马逊，他们中招的并不是特别多，主要的呢，是第三方提供商，或者是外包项目的公司，特别是在网络安全、渗透检测、加密服务等领域，雇佣了大量的朝鲜技术人员；最后呢，是科技咨询与服务公司，麦肯锡咨询和波士顿咨询，他们雇佣了很多这些朝鲜的员工。那他们雇佣这玩意干嘛使？他们也需要给人做一些IT项目建设的这些咨询，这些朝鲜员工，给他们做的还是相当不错的。

那么，作案的手法是什么呢？制作假的简历和LinkedIn的界面，进行远程的面试。在美国境内呢，设置笔记本农场，叫laptop farm。这个东西干嘛使的？现在有很多人说，哎，你在我这上班了吧，我需要给你发电脑去。你接收到电脑以后，你这个电脑要开机，电脑上呢，有我们公司的各种的，比如登录VPN这样的这种软件，你要在我们自己的电脑上去工作，我发的所有的信息都在这个电脑上。那这些电脑呢，你不能送到朝鲜去，他需要在美国有接收地址。接收到这些地址以后呢，这些电脑就要开机。

司法部和FBI逮到的，都是这种笔记本电脑农场，就是他把这些电脑都在一屋里，全都支起来，支好了以后呢，由朝鲜的工作人员，远程登录这些电脑，在这些电脑上，再去替他的雇主完成工作。所以，他们叫电脑农场，就跟这个种地似的，都把它支起来。美国境内的这些代理人呢，帮他们去转账。你收钱，你也需要在美国有社会保障号码，或者是类似这种东西，你能收到钱嘛。收完了钱以后，他还要把这个钱再寄回到朝鲜去。这个算是一个公派项目，这是国家组织的项目，所以你这个钱还是要回去的。司法部和FBI抓住这些人，他们还负责替这些朝鲜员工呢收工资，再把这个工资通过地下钱庄，通过加密货币的方式，再重新打到朝鲜去。

这么魔幻的事情，我们看完了以后，一定有很多问题。第一个呢，这到底是公派还是个人行为？刚才我们讲的公派，待会我们详细讲一下。第二个呢，这玩意啥时候开始的？因为我们印象里疫情也没几年，疫情让大家开始远程工作，但是你从疫情开始的时候，你去培养这个人他来不及。这个事是怎么开始，怎么变成现在这个样了呢？第三个呢，是这些人到底是来挣钱的呢，还是来搞情报的？最后呢，是这些人到底咋培训的？按照我们的印象里，朝鲜人的电脑技术好像没有那么强，他们自己内部也挺封闭的，你要想去学到最新的电脑知识、互联网知识，你还是要在一个相对开放的环境里去。这事到底是怎么训练的？

咱们一点一点来去解析。首先，这个人是公派的，他是一个国家行为。他们的收入70%是归国家的，30%归个人。一份工作背后呢，可能是一个小团队。朝鲜呢，本身有一个挺大的人才池。他们最后上线去面试呢，叫身份上线，而且是分批次去身份上线。朝鲜IT和网络部队多年来，每年选拔大量的学生，进入网络作战和开发系列。疫情后，仅需要批量生成身份包、简历、国籍伪装、推荐信这些东西，就可以同步投递到全球的岗位上去了。看起来是突然多出来很多人，这些人其实早就在培养了。

再往后呢，就是他们一人多号，团队轮班作战。同一个技能组，可以操作多套被盗用或者是租借的身份，在不同的公司维持若干个雇佣人格。你雇的这个人，可能你都不知道，他到底后边是一个人还是一个团队。被解雇了以后也没关系，账号脱壳了以后，技术人员立刻套上下一个身份，再来投递，造成统计上的膨胀。所以，这人到底有多少，现在算不太清楚。执法和情报方多次指出，北朝鲜的工人，在多个假身份之间进行轮换。所以呢，他们的名字叫做远程IT创汇组，这是一个国家项目。

那这事怎么开始了呢？2010年代，金正恩上台后，就把IT列为国家发展重点，加强学校计算机教育，选拔精英入军情和技术单位。2015年前后，就开始起步了，5,000人以内的人，就选择在境外驻点。这些人呢，倒也没有跑到美国去，他们呢，主要是在中国跟俄罗斯，进行实地驻点，进行小额的软件外包。专家与行业文章指出，北朝鲜自2010年就初步派团队，在中俄两地进行了相关的工作。

2018年到2019年呢，当时有很多针对朝鲜的制裁，就来了数百个境外IT工作者，这个是联合国的一个报告，直接指出来的。单月呢，月入是3,000到5,000美金。他们通过壳公司、本地挂名、线上接单和线下交付，涉及加密资产的一些盗取，就是他们经常会去偷你的加密资产。

疫情后呢，就快速扩张。2020年到2024年，部分估计呢，会达到上万个。这些朝鲜的IT工作者具体有多少，其实完全没法统计，因为你一个账号后边到底有几个人不知道。他们呢，通过远程雇佣自由职业平台、笔记本农场代理付款的方式，进行远程工作。

那么，下一个问题来了，这些人赚钱为主，还是偷情报为主呢？答案是赚钱为主，偷情报这件事呢，碰到了呢也不会放过，哈哈，他是这样的一个工作。他80%的工作目的是赚钱，稳定的为朝鲜提供美元外汇，将军的迈巴赫那玩意也不便宜。偷情报呢，主要集中在币圈，各种加密货币的交易与账号信息呢，是他们偷的比较多的东西。当然，你也有可能会遇到国防部的数据了，或者一些代码，肯定是遇到了是不会放过的，也会把它往回拿。

那他们到底赚了多少钱呢？平均薪水是每个人一年30万美金，这个IT工作还是比较挣钱的嘛。估算呢，每年可以替平壤挣2.5-6亿美金，这个统计起来也是比较麻烦的，所以它是一个范围，还是挺挣钱的。

再往后，这些人到底怎么培训出来的？这个跟我们中国人，对朝鲜的计算机水平的认知，好像有一些出入。通过朝鲜的培训方式呢，我觉得再一次说明了，举国体制确实还是可以解决很多问题的。咱们可能全民体育运动搞得不怎么样，但是咱们的奥运会金牌是第一，这个是咱们的举国体制。人家朝鲜呢，就玩的IT的举国体制。

人家怎么玩的呢？首先，进行早期遴选，从小学奥数信息学竞赛优胜者中，点名进入第一中学、金星学校等少数精英教育中学，跟咱们原来培养这些奥数人才的过程，基本上是一致的。到本科呢，或者是上军校，就直接让他们就开始学计算机了，就读于金日成大学，或者朝鲜自动化大学等，朝鲜的顶尖的计算机学院。每届呢，约有100名学员，被直接招募到他们的这种黑客组织中。主要呢，是学C、C++、Windows内核、网络渗透、英语和汉语，这些人是要去学汉语的。

毕业了以后，你也不能直接出来干活，还要做一个强化期，要做两年的加强班，加上一年的派驻中俄实习，学习西方软件工程流程与社交礼仪。你直接在朝鲜这边出来，是容易露馅的，所以呢，还要派到中国跟俄罗斯再去洗洗脑。他们要学什么呢？版本控制、深度伪装、商务英文，因为我们做这种远程的协作，你不学版本控制这事肯定是不行的。然后呢，就开始为远程就业做准备了。

内部呢，有一个叫接单室，就是你去面试的，可能最后跟你干活的人，完全不是一拨人。他们呢，集中呢，去授课，如何伪造LinkedIn、深度伪造视频面试，就是你面试的人可能也不是他，甚至你面试的人有可能是一个中国人，或者是一个白人，这都是有可能的。然后呢，去学习VPN和一些虚拟机的使用技术，因为最后他是需要虚拟到你的笔记本农场里边，那个笔记本上去干活。去deepfake深度伪装面试的这个培训，以及呢，学密码学和一些合规话术，有很多东西你没有学会怎么说的话，这事是有问题的。

后来说，识别他们的方式，就是在面试的时候说一些，对这个将军不是特别恭敬的话，可能对于识别他们，也是有一定的帮助的。就脱北者和智库的一些文件显示，朝鲜呢，在有计划的进行黑客培训，其中佼佼者呢，会编入到攻击组里边去，就成为朝鲜网军了。淘汰下来的呢，就进入到远程IT创汇所。

那么，有多大规模呢？到底有多少人？联合国专家组认为呢，截止到2023年，北朝鲜在境外远程活动的IT自由职业者，是3,000-1万人。这个事情就比较难统计嘛。微软2025年安全博客里边写的是，平壤已部署了数以千计的远程开发人员，隐藏在中俄以及本土的机房，通过VPN和这种远程的虚拟机技术和一些工具，对外接单。

美国司法部2025年6月30号的新闻稿说是，FBI称已受训并被派出的北朝鲜网军，达到数千人，仅最新一次行动，就查处了29处笔记本农场，涉及100多家美国企业。综合多方面的估算，如今活跃的远程IT人员，大约是4,000-8,000人之间，分布在自由职业平台、外包公司以及世界500强的远程岗位上。为什么这个统计差异这么大？就是因为你搞不清楚，最后到底是一个人还是10个人，或者有可能是一个人有一堆账号，所以呢，统计口径并没有特别的统一。

总结一下吧，这种魔幻的故事呢，大概也只有朝鲜可以为我们贡献了。美国这些敌对国家，或者说在他名单上的六七个国家里头，俄罗斯呢，本身IT是不错的，但是俄罗斯的程序员，自己也在做自由职业者，所以并没有国家去组织他。中国呢，一直就是这块的大头，我们大量的人在外边去干活，国家是不是有组织这个事不确定。其他的国家，什么伊朗，反正用我的印象里头来说，他们可能组织这种IT远程创汇这件事，还是不太现实。

所以，朝鲜也还是一个深受汉文化影响的地方。他们呢，培养一大堆的计算机程序员，到美国去接活，挣美元回来。朝鲜呢，是通过系统化规模化的培养，把网络人才视为核武之外的第二把剑。从娃娃抓起，经高校军校实战梯队培训，他这样一套整个的系统，培训上来的数千名程序员，隐藏于全球的招聘链条中。任何缺乏严格实名认证的远程岗位，都有可能招到隐形朝鲜人。创汇为主，窃密随缘，就是我碰到了我就拿，没碰着我就好好的去上班。一旦进入敏感行业，收入与情报就成了一鱼两吃了。

这些人呢，可能并不在平壤，大多数应该是在中国和俄罗斯。所以，我们这儿是不是也被朝鲜渗透的跟筛子似的，不好说，这个可能性也不是没有。这么多的中国企业喜欢去用外包，你们也要想一想说，你的活到底是交给什么人去干了。至于说，日本跟台湾，这种大量使用IT外包的国家和地区呢，估计早就中招了。你们内部的很多信息，原来你们还防呢，不要让中国程序员碰，这个里头，还有比中国程序员更魔幻的选择，在等着你们。

这就是咱们今天讲的故事，朝鲜的IT工程师，正在为国家创造外汇的故事。感谢大家收听，请帮忙点赞、点小铃铛、参加Discord讨论群，也欢迎有兴趣有能力的朋友加入我们的付费频道。再见。