Министерство финансов США через Управление по контролю за иностранными активами (OFAC) ввело санкции против шести физических и двух юридических лиц, вовлечённых в схему использования северокорейских IT-работников. Согласно американским властям, цель этой программы — мошенничество с бизнесами в США и за рубежом и последующая переотправка доходов на финансирование программ создания оружия массового уничтожения (ОМУ) КНДР.
Как работает схема северокорейских IT-работников
Речь идёт о многоуровневой мошеннической модели, также известной под названиями Coral Sleet / Jasper Sleet, PurpleDelta и Wagemole. Её суть — трудоустройство северокорейских IT-специалистов в легальные компании под поддельными личностями. Для этого используются подложные документы, украденные личности и вымышленные цифровые персоны, зачастую с использованием реальных профилей западных специалистов.
Получая работу как удалённые разработчики, аналитики или администраторы, такие «сотрудники» получают доступ к инфраструктуре и данным компаний. Существенная часть их заработка, по оценкам властей, скрытно переводится в КНДР в обход международных санкций и направляется на ракетные и ядерные программы.
В ряде случаев деятельность не ограничивается лишь тайным получением зарплаты. Сообщается, что некоторые операторы внедряют вредоносное ПО для кражи коммерческой тайны, персональных данных и иной конфиденциальной информации. Далее используется шантаж и вымогательство: компании требуют выкуп за неразглашение похищенных данных.
Использование VPN, Китая и сокрытие реального происхождения
Почему северокорейские IT-операторы работают из Китая
Согласно исследованию компании LevelBlue, значительная часть таких IT-работников действует не из КНДР, а с территории Китая. Главные причины — более стабильная инфраструктура интернета и возможность использовать VPN-сервисы для маскировки геолокации. Особо отмечается применение Astrill VPN, известного способностью обходить «Великий китайский файрвол» и направлять трафик через американские выходные узлы.
Это позволяет операторам выглядеть как обычные сотрудники, подключающиеся из США или других западных стран. По словам исследователей, подгруппы Lazarus Group, включая Contagious Interview, полагаются на такую инфраструктуру для неограниченного доступа к глобальному интернету, управления серверами командования и контроля и скрытия реального местоположения.
В одном из зафиксированных эпизодов, описанном LevelBlue, северокорейский IT-работник попытался устроиться в организацию, откликнувшись на вакансию. Его наняли как удалённого специалиста по работе с данными Salesforce, однако уже через 10 дней доступ был отозван из‑за постоянных входов из Китая, выявленных при анализе логов.
Искусственный интеллект как усилитель киберугроз
Генерация цифровых личностей и поддельных документов
Отдельное внимание экспертов привлекает использование искусственного интеллекта (ИИ) в рамках операций Jasper Sleet. По данным Microsoft, злоумышленники применяют ИИ на всех этапах цикла атаки — от подбора подходящей вакансии до долгосрочного сохранения доступа в инфраструктуру компании.
С помощью ИИ создаются правдоподобные цифровые профили, резюме и сопроводительные письма, адаптированные под конкретные рынки труда и требования работодателей. Для повышения убедительности используется приложение Faceswap и аналогичные инструменты: лица северокорейских IT-работников встраиваются в украденные документы, а также генерируются профессиональные фотографии для резюме и профилей в соцсетях.
Автоматизация атак и обход ограничений ИИ-моделей
По данным Microsoft, Flare и IBM X-Force, северокорейские операторы задействуют так называемые «агентные» ИИ-инструменты для быстрого создания и обновления вредоносного кода, генерации текстов вакансий, фальшивых сайтов компаний и техподдержки. В отдельных случаях им удаётся «взламывать» (jailbreak) большие языковые модели, заставляя их помогать в разработке вредоносных компонент.
Внутри таких групп выстроена чёткая структура: рекрутеры находят вакансии и жертв, фасилитаторы обеспечивают доступ к аккаунтам и платёжным системам, IT-работники выполняют основную работу и операции с данными, а западные коллаборанты (часто привлечённые через LinkedIn и GitHub) сознательно или несознательно предоставляют свои личности и аккаунты для маскировки.
Для координации используются простые, но эффективные инструменты: электронные таблицы для отслеживания откликов на вакансии и выполненных задач, IP Messenger (IPMsg) для децентрализованной внутренней коммуникации и Google Translate для перевода описаний вакансий, составления откликов и интерпретации ответов, включая взаимодействие с такими сервисами, как ChatGPT.
Учитывая, что северокорейские удалённые IT-работники стремятся к долгосрочному, доверенному доступу, такие инциденты всё чаще рассматриваются как сценарии инсайдерского риска. Организациям рекомендуется фокусироваться на выявлении злоупотреблений легитимными учётными записями, аномальных паттернов доступа, нетипичных геолокаций и «тихой», растянутой во времени активности. Регулярная проверка удалённых сотрудников, многофакторная аутентификация, строгий контроль прав доступа, мониторинг VPN-подключений и обучение персонала основам цифровой гигиены существенно снижают вероятность успешного проникновения подобных схем и помогают выявлять их на ранней стадии.
