Как северокорейские хакерские операции поддерживают более 30 поддельных личностей на глобальных платформах

Недавние расследования скомпрометированных устройств северокорейских IT-работников выявили операционный план сложной пятерочной технической команды, управляющей обширной сетью мошеннических онлайн-персон. Раскрытия, опубликованные известным ончейн-детективом ZachXBT, предоставляют беспрецедентное понимание того, как эти акторы систематически внедряются в проекты по развитию криптовалют и глобальные технологические компании.

Инфраструктура за массовым фальсификацией личностей

Модель работы команды основана на покупке существующих аккаунтов и использовании инструментов удаленного доступа. Их стратегия приобретения включает покупку профилей на Upwork и LinkedIn, получение поддельных номеров социального страхования (SSNs), а также аренду телефонных номеров и компьютерного оборудования. После оснащения они используют программное обеспечение AnyDesk для удаленного доступа, чтобы выполнять аутсорсинговую разработку на нескольких платформах одновременно.

Записи о расходах, восстановленные из их систем, показывают сложную цепочку поставок: криптовалютные платежные процессоры, такие как Payoneer, конвертируют фиатные доходы в цифровые активы, а подписки на AI-сервисы и обратные VPN/прокси-сервисы маскируют их истинное географическое расположение и операционные следы. Такой многоуровневый подход позволяет им сохранять постоянный доступ к глобальным рынкам труда, несмотря на неоднократные попытки обнаружения.

Операционные рабочие процессы и внутренние проблемы

Документы Google Drive и профили в Chrome, раскрытые внутри организации, показывают удивительно обыденные рабочие процессы. Еженедельные отчеты о производительности содержат задания, распределение бюджета и заметки по устранению неполадок. В одной записи зафиксировано разочарование участника команды: «не понимает требования к работе и не знает, что делать», а ответ руководства — просто «посвятите себя и работайте усерднее».

Подробные графики показывают, как фиктивные личности, такие как «Henry Zhang», используются в проектах с прописанными протоколами встреч. Эта регламентация указывает на централизованное управление, несмотря на географическую разобщенность — критическая уязвимость, которая в конечном итоге привела к их обнаружению.

Финансовые следы и подтверждение личности

Ключевой кошелек (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c), связанный с атакой протокола Favrr на сумму 680 000 долларов в июне 2025 года, стал первым крупным прорывом. Жертвы атаки — скомпрометированные CTO и разработчики — позже были подтверждены как северокорейские IT-работники, действующие под поддельными учетными данными. Этот адрес стал важным идентификатором, связывающим команду с несколькими инцидентами внедрения по всей индустрии.

Лингвистические доказательства оказались не менее убедительными. Истории поиска показывают частое использование Google Translate с переводами на корейский язык, обработанными через российские IP-адреса — обратная гео-локализация, несовместимая с заявленным местоположением работников.

Возрастающие вызовы для корпоративной защиты

Расследование подчеркивает системные уязвимости в текущей архитектуре безопасности:

Пробелы в координации платформ: поставщики услуг и частные компании лишены формализованных механизмов обмена разведданными, что позволяет одним и тем же мошенническим личностям циркулировать по нескольким платформам без обнаружения.

Реактивные практики найма: целевые компании часто становятся оборонительными при получении предупреждений о рисках, отдавая предпочтение операционной непрерывности вместо сотрудничества в расследовании безопасности.

Преимущество числового масштаба: хотя индивидуальная техническая подготовка остается умеренной, огромное количество попыток внедрения — использующее огромный талантливый пул — подавляет традиционные процессы отбора.

Конвертация криптовалютных платежей: легкость преобразования фиатных доходов в цифровые активы через доступные платформы устраняет традиционные банковские барьеры, которые ранее задерживали иностранных оперативников.

Эти операционные уязвимости сохраняются не из-за сложной техники, а потому, что обнаружение требует проактивного межплатформенного сотрудничества, которого в настоящее время в криптоиндустрии и технологическом секторе на масштабном уровне не существует.