最近2到3年美国政府多次提出警告，要企业防范北韩黑客假借谋取远距办公职务的名义，取得企业内部网络环境的存取权限，从事间谍活动并偷取机密数据的情况，今年美国更是二度查缉协助这些「IT人员」犯案的笔电农场（Laptop Farm），自资安意识教育训练业者KnowBe4公布他们不慎雇用北韩黑客差点数据外流的事故，有资安业者针对这种威胁态势进行调查，并指出近期相关攻击已出现显著变化。

资安业者Secureworks指出，他们针对专门从事这类攻击的黑客组织Nickel Tapestry（也被称做Famous Chollima、UNC5267）进行追踪，结果发现这些黑客在得手企业内部数据后，开始会向雇主进行勒索，要求付钱换取不将数据外流。研究人员指出，这样的手法过往未曾出现。

在其中一起事故里，受害企业因该员工表现不佳终止雇佣关系，不久就收到一系列电子邮件，其中一封挟带声称窃得内部机密数据的ZIP文件，另一封则是要求受害企业支付数十万美元的加密货币赎金，后来黑客从另一个电子邮件信箱寄信，以Google Drive共享文件来表明，他们握有更多内部数据，借此施压。

此外，他们也发现这些黑客往往还会更改公司寄送工作用笔电的地址，要求送到笔电农场，这意味着黑客通常不会在求职提供的个人所在地区信息直接填写笔电农场的地址，而有可能通过人资部门初期审查。

在部分事故里，IT人员会企图要求受害企业同意使用自己的电脑办公，并表达对虚拟桌面环境（VDI）组态的偏好。研究人员指出，黑客这么做的目的，很可能是避免在公务电脑留下相关证据。

再者，这些黑客还会使用Astrill VPN提供的IP位址及代理服务器服务，来隐匿行踪。研究人员在其中1起事故当中，看到黑客存取公司的VDI系统将内部数据发送到私人Google Drive存储空间。

这些人员存取企业内部环境的方式，包含Chrome远程桌面功能、AnyDesk，若对照他们应征的工作职务来看，通过上述工具来操作电脑显得很怪异。

基本上，北韩黑客为避免穿帮，通常会尽可能会在通话及视频会议的过程当中，声称笔电的视讯镜头异常等理由，将镜头关闭。但在近期的资安事故中，这样刻意遮掩自己面貌的行为模式，也出现变化，研究人员根据鉴识取得的证据发现，对方疑似使用名为SplitCam的自媒体协作工具，可将即时视讯画面拷贝到多份应用程序当中，在避免身分及地点被曝光的情况下开会，使得受害企业比较不会察觉有异。

此外，他们还发现受到相同公司聘雇的IT工人会彼此互通有无，包含互相推荐、担任类似的职务、使用类似的履历与电子邮件格式。此外，这些工人也往往具备相同的寄送物品及领取工资的方式。研究人员发现，这些黑客还可能一人分饰多个角色──他们在黑客的往来信件当中，看到完全不同的写作风格，研判这些黑客很可能经常聚集在相同地点，并且共同分担工作。

针对上述的发现，研究人员指出，向受害企业索讨赎金的作法，显然偏离这些黑客初期犯案的规画，而且，黑客不再以维持就业赚取薪水为主要目的，并将其攻击目标转向剽窃智能财产，企业若不慎雇用到这些人，资安风险将变得更加严重。