كيف تحافظ عمليات الاختراق الكورية الشمالية على أكثر من 30 هوية مزيفة عبر المنصات العالمية

أظهرت التحقيقات الأخيرة في أجهزة العاملين في تكنولوجيا المعلومات الكوريين الشماليين المخترقة كشف المخطط التشغيلي لفريق تقني متطور يتكون من خمسة أشخاص يدير شبكة واسعة من الشخصيات الوهمية الاحتيالية على الإنترنت. توفر هذه الاكتشافات، التي شاركها المحقق المعروف على السلسلة ZachXBT، رؤية غير مسبوقة حول كيفية تسلل هؤلاء الفاعلون بشكل منهجي إلى مشاريع تطوير العملات الرقمية وشركات التكنولوجيا العالمية.

البنية التحتية وراء الاحتيال الجماعي على الهوية

يعتمد نموذج تشغيل الفريق على شراء حسابات موجودة ونشر أدوات الوصول عن بعد. تشمل استراتيجيتهم في الشراء شراء ملفات تعريف على Upwork و LinkedIn، والحصول على أرقام ضمان اجتماعي مزيفة (SSNs)، واستئجار أرقام هواتف ومعدات حاسوب. بمجرد تجهيزهم، يستخدمون برنامج AnyDesk للوصول عن بعد لإتمام أعمال التطوير الخارجي عبر منصات متعددة في وقت واحد.

تكشف سجلات النفقات المسترجعة من أنظمتهم عن سلسلة إمداد متطورة: معالجات الدفع بالعملات الرقمية مثل Payoneer تحول الأرباح بالعملات الورقية إلى أصول رقمية، بينما تخفي الاشتراكات في خدمات الذكاء الاصطناعي وخدمات VPN/Proxy العكسية موقعهم الجغرافي الحقيقي وبصماتهم التشغيلية. تتيح لهم هذه الطبقات من التمويه الحفاظ على وصول مستمر إلى أسواق العمل العالمية على الرغم من محاولات الكشف المتكررة.

سير العمل الداخلي والتحديات التشغيلية

وثائق Google Drive وملفات تعريف متصفح Chrome كشفت عن سير عمل داخلي يبدو بسيطًا بشكل مدهش. تقارير الأداء الأسبوعية تفصل مهام التعيين، وتخصيص الميزانيات، وملاحظات استكشاف الأخطاء وإصلاحها. سجل واحد أظهر إحباط أحد الأعضاء: “عدم فهم متطلبات الوظيفة وعدم معرفة ما يجب القيام به”، ورد المشرف ببساطة قائلاً “كرس نفسك واعمل بجد أكثر”.

تُظهر الجداول الزمنية المفصلة كيف يتم نشر هويات وهمية مثل “Henry Zhang” عبر مشاريع مع بروتوكولات اجتماعات مكتوبة مسبقًا. يشير هذا التنظيم إلى إدارة مركزية على الرغم من التشتت الجغرافي — وهو ثغرة أمنية حاسمة أدت في النهاية إلى اكتشافهم.

الآثار المالية وتأكيد الهوية

عنوان محفظة رئيسي (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c) المرتبط بهجوم بروتوكول Favrr بقيمة 680,000 دولار في يونيو 2025 قدم أول اختراق رئيسي. تم التأكد لاحقًا من أن ضحايا الهجوم، وهم CTO والمطورون، كانوا في الواقع عمال تكنولوجيا معلومات كوريين شماليين يعملون تحت هويات مزورة. أصبح هذا العنوان معرفًا حاسمًا يربط الفريق بعدة حوادث تسلل عبر الصناعة.

كما أثبت الأدلة اللغوية بنفس القدر من الأهمية. كشفت سجلات البحث عن اعتماد متكرر على Google Translate مع ترجمات باللغة الكورية تمت معالجتها عبر عناوين IP روسية — نمط جيو-إيبي عكسي يتناقض مع المواقع المزعومة للعاملين.

التحديات المتزايدة للدفاع المؤسسي

تسلط التحقيقات الضوء على ثغرات نظامية في البنية الأمنية الحالية:

فجوات تنسيق المنصات: مزودو الخدمات والمؤسسات الخاصة تفتقر إلى آليات مشاركة معلومات رسمية، مما يسمح لنفس الهويات الاحتيالية بالدوران عبر منصات متعددة دون اكتشاف.

ممارسات التوظيف التفاعلية: غالبًا ما تتخذ الشركات المستهدفة موقفًا دفاعيًا عند تقديم تحذيرات من المخاطر، مع prioritization لاستمرارية العمليات على حساب التعاون في التحقيقات الأمنية.

الميزة العددية: رغم أن مستوى التعقيد الفني الفردي لا يزال متوسطًا، فإن حجم محاولات التسلل — الذي يستفيد من قاعدة مواهب ضخمة — يتجاوز قدرات الفحص التقليدية.

تحويل الدفع بالعملات الرقمية: سهولة تحويل الدخل بالعملات الورقية إلى أصول رقمية عبر منصات متاحة تزيل العوائق المصرفية التقليدية التي كانت تعيق سابقًا عمليات العملاء الأجانب.

لا تزال هذه الثغرات التشغيلية قائمة ليس بسبب مهارة فنية متقدمة، بل لأنها تتطلب تعاونًا استباقيًا عبر المنصات، وهو أمر غير موجود حاليًا على نطاق واسع في صناعات العملات الرقمية والتكنولوجيا.