Як північнокорейські хакерські операції підтримують понад 30 фальшивих особистостей на глобальних платформах

Останні розслідування з приводу зламаних пристроїв працівників ІТ з Північної Кореї розкрили операційний план складної п’ятиособової технічної команди, яка керує широкою мережею шахрайських онлайн-особистостей. Виявлення, поділене відомим детективом на блокчейні ZachXBT, надає безпрецедентне уявлення про те, як ці актори систематично проникають у проєкти з розробки криптовалют і глобальні технологічні компанії.

Інфраструктура за масовим фальсифікацією особистостей

Модель роботи команди базується на купівлі існуючих акаунтів і використанні віддалених доступних інструментів. Їх стратегія придбання включає купівлю профілів на Upwork і LinkedIn, отримання фальшивих номерів соціального страхування (SSNs) та оренду телефонних номерів і комп’ютерного обладнання. Після оснащення вони використовують програмне забезпечення AnyDesk для віддаленого доступу, щоб виконувати аутсорсингову розробку одночасно на кількох платформах.

Витрати, виявлені з їхніх систем, демонструють складну ланцюг поставок: платіжні процесори криптовалют, такі як Payoneer, конвертують фіатний дохід у цифрові активи, тоді як підписки на AI-сервіси та зворотні VPN/проксі-сервіси маскують їхню справжню географічну локацію та операційні сліди. Такий багатошаровий підхід дозволяє їм зберігати постійний доступ до глобальних ринків праці, незважаючи на повторні спроби виявлення.

Операційні процеси та внутрішні виклики

Документи Google Drive і профілі в браузері Chrome, що були викриті, демонструють внутрішні робочі процеси, які здаються досить буденними. Щотижневі звіти про продуктивність містять завдання, розподіл бюджету та нотатки щодо усунення несправностей. Один запис зафіксував розчарування члена команди: «не розуміючи вимог до роботи і не знаючи, що робити», а відповідь керівництва була простою: «присвятіть себе і працюйте наполегливіше».

Детальні графіки показують, як фіктивні особистості, наприклад «Henry Zhang», використовуються у різних проєктах із заздалегідь прописаними протоколами зустрічей. Така регламентація свідчить про централізоване управління, незважаючи на географічне розкидання — критична вразливість, яка зрештою привела до їхнього виявлення.

Фінансові сліди та підтвердження особистості

Ключова адреса гаманця (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c), пов’язана з атакою протоколу Favrr на суму $680 000 у червні 2025 року, стала першим значним проривом. Постраждалі від атаки, зокрема зламаний CTO і розробники, пізніше були підтверджені як працівники ІТ з Північної Кореї, що діяли під підробленими обліковими даними. Ця адреса стала ключовим ідентифікатором, що пов’язує команду з кількома випадками проникнення у галузі.

Лінгвістичні докази були не менш переконливими. Історії пошуку показали часте використання Google Translate з перекладами корейською мовою, обробленими через російські IP-адреси — зворотний патерн геоінформації, що не відповідає заявленим локаціям працівників.

Зростаючі виклики для корпоративної оборони

Розслідування підкреслює системні вразливості сучасної системи безпеки:

Пропуски у платформеній координації: Постачальники послуг і приватні компанії не мають формалізованих механізмів обміну розвідданими, що дозволяє тим самим шахрайським особистостям циклічно проходити через кілька платформ без виявлення.

Реакційна практика найму: Цільові компанії часто стають оборонними, коли їм повідомляють про ризики, віддаючи перевагу операційній безперервності замість співпраці у розслідуванні безпеки.

Перевага у чисельності: Хоча технічна складність окремих зловмисників залишається помірною, величезна кількість спроб проникнення — використання масивного таланту — перевищує можливості традиційних процесів відбору.

Конвертація криптовалютних платежів: Легкість перетворення фіатних доходів у цифрові активи через доступні платформи усуває традиційні банківські перешкоди, які раніше затримували іноземних оперативників.

Ці операційні вразливості зберігаються не через складну майстерність, а через відсутність проактивної міжплатформенної співпраці, яка наразі не реалізована у масштабах криптовалютної та технологічної індустрії.