北韓的IT 人員已將業務範圍擴大到美國以外，目前正越來越多地將目標對準歐洲各地的組織。他們也被稱為“IT 戰士”，隱藏真實身份，冒充其他國家的工作人員，透過筆記型電腦農場連接，以欺詐手段獲得全球各地公司遠程自由職業IT 員工的職位，為朝鮮政權創造收入。

Google威脅情報小組(GTIG) 的安全研究人員發現，在朝鮮IT 大軍的許多成員受到美國指控和製裁後，朝鮮IT 大軍越來越多地將目標對準德國、葡萄牙和英國的公司。

GTIG 首席威脅情報顧問Jamie Collier 表示：“為了保住這些職位，北韓IT 工作人員採用了欺騙手段，謊稱自己擁有多個國家的國籍，包括義大利、日本、馬來西亞、新加坡、烏克蘭、美國和越南。他們使用的身份是真實身份和虛構身份的結合。  ”

「歐洲的IT 工作者是透過各種線上平台招募的，包括Upwork、Telegram 和Freelancer。他們的服務付款是透過加密貨幣、TransferWise 服務和Payoneer 進行的，這突顯了他們使用混淆資金來源和去向的方法。”

北韓IT 工作者所針對的國家(GTIG)

例如，GTIG 調查人員在歐洲求職網站和人力資本管理平台上發現了使用者憑證，這些憑證與北韓IT 工作者在德國和葡萄牙公司求職有關。北韓IT 工作者也與英國的許多項目有關，這些項目涉及人工智慧和區塊鏈技術、網路、機器人和內容管理系統(CMS) 開發等。

2024 年末，另一名北韓IT 工作者針對國防工業基地和政府部門的多個歐洲組織，使用虛假的參考資料和角色，以便更容易誘騙招募人員僱用他們。

Mandiant Google雲端首席分析師邁克爾·巴恩哈特(Michael Barnhart) 在一月份告訴BleepingComputer：“我們越來越多地看到朝鮮IT 工作者滲透到大型組織以竊取敏感數據並對這些企業發出勒索威脅。”

“他們將業務擴展到歐洲以複製他們的成功並不奇怪，因為這樣更容易誘捕那些不熟悉他們伎倆的公民。”

2024 年9 月12 日，英國金融制裁實施辦公室 針對北韓IT 工作者發布了諮詢報告， 其中包含有關潛在目標如何降低其風險敞口的信息，並警告僱用他們的個人和組織可能會違反金融制裁。

GTIG 的報告是在FBI多次發出警告之後發布的，此前，FBI 曾警告稱，朝鮮大量IT 員工被派往海外賺取收入，多年來，這些人欺騙了美國和世界各地的數百家公司。然而，北韓政權將透過這種方式收取的工資中高達90% 留作己用，每年賺取數億美元來資助其武器計畫。

在被發現和解僱後，一些臥底的北韓IT 工作者還利用內線消息敲詐前雇主，威脅洩露從公司係統中竊取的敏感資訊。

今年1 月，美國司法部起訴了兩名北韓公民和三名協助者，指控他們在2018 年4 月至2024 年8 月期間參與了一項長達多年的欺詐性遠距IT 工作計劃，涉及至少64 家美國公司。

美國財政部外國資產管制辦公室(OFAC)也制裁了與北韓國防部有聯繫的朝鮮幌子公司，這些公司被指控透過非法遠距IT 工作計畫獲取收入。美國國務院現在提供數百萬美元，以換取任何可能有助於阻止其詐欺活動的資訊。

近年來，韓國和日本政府機構也發出警告，警惕北韓人冒充其他國家人員在私人企業擔任遠距IT 工作者。