资安业者KnowBe4发现，这名软件工程师履历上使用的照片，是通过AI技术进行变造，对方将原始的左图西方人的脸孔通过Deepfake变造，产生右边看起来像东方人的照片。

在该公司的EDR系统侦测到异状并向资安营运中心（SOC）发出警讯，SOC向该名新员工询问是否需要协助。在此同时，该公司也向资安业者Mandiant、美国联邦调查局（FBI）共享收集到的数据与初步的调查结果，从而确认这是来自北韩的假IT人员。

基于FBI已介入调查此事，KnowBe4表明他们无法说明完整的细节，但还是透露了整起事故察觉异状的经过。

该公司在今年7月15日，察觉新进的主任软件工程师用户帐号出现一系统可疑活动，SOC团队向这名工程师进一步确认这些恶意活动及可能发生的根本原因，对方宣称他的路由器出现速度异常的情况，怀疑有可能是遭到网络攻击造成，正依照路由器的手册排除故障。

他们发现这名工程师意图借由各种手法来操纵网络连接的记录数据，并传输含有潜在风险的文件，以及运行未经授权的软件，而存取恶意软件的管道，是通过树莓派设备来下载。SOC想要进一步联系这名工程师，对方表明无法接听电话，接下来就不再回应。

根据该公司SOC的发现，他们怀疑这名员工的身分不单纯，很有可能是国家级黑客，从而启动进一步的调查。值得庆幸的是，该公司新员工会处于高度管制的环境，无法存取正式的生产力系统，而免于内部数据外流的危险，再者，该公司的资安系统适时察觉异状，而能及早让对方的意图曝光，因此，他们的内部正式生产力系统并未遭到入侵，也没有机敏数据外流的情况。

该公司也对他们在查核对方身分真实性的流程，发现可能存在瑕疵的地方，例如，人资部门可能对于背景调查不够充分，因为后来他们发现对方使用的名称前后出现不一致的情况；再者，他们发现审查相关数据不够严谨，很有可能依赖对方提供的电子邮件做为参考依据而上当。

但究竟这些北韩黑客如何从事相关工作，而能够骗过美国企业的耳目？该公司表示，对方成功取得相关工作职位后，通常会要求企业将公务电脑寄送到「IT骡子笔电农场（IT Mule Laptop Farm）」，然后半夜通过VPN从实际所在的地理位置（通常是北韩或中国边界地区）存取，运行公司指派的任务，如此一来，这些「员工」看起来就在美国的白天时间正常上下班工作。