Міністерство фінансів США через Управління з контролю за іноземними активами (OFAC) запровадило санкції проти шести фізичних та двох юридичних осіб, пов’язаних з масштабною схемою працевлаштування північнокорейських IT-фахівців під чужими особистостями. За даними американської сторони, зароблені таким чином кошти переправляються до КНДР і використовуються для фінансування програм створення зброї масового ураження (ЗМУ) та ракетних розробок.
Схема Coral Sleet / Jasper Sleet: як працюють північнокорейські IT-працівники під прикриттям
Описувана модель, відома під назвами Coral Sleet / Jasper Sleet, PurpleDelta та Wagemole, базується на системному використанні підроблених або викрадених цифрових особистостей. Північнокорейські розробники, аналітики та адміністратори влаштовуються віддалено у легальні компанії, часто в США та інших західних державах, маскуючись під місцевих або іноземних спеціалістів.
Для легітимізації кандидатів використовуються фальшиві документи, украдені профілі та вигадані персонажі, зокрема на базі реальних акаунтів у LinkedIn, GitHub чи професійних соцмережах. Після успішного працевлаштування такі «співробітники» отримують доступ до корпоративної інфраструктури, кодових репозиторіїв, CRM-систем, серед яких часто фігурує Salesforce, а також до внутрішніх даних компаній.
Суттєва частина зарплат і бонусів приховано переводиться до КНДР в обхід міжнародних санкційних режимів, що, за даними США та їхніх партнерів, перетворює звичайні аутсорсингові контракти на інструмент фінансування кібероперацій та програм ЗМУ.
У низці випадків діяльність не обмежується «тихим» отриманням доходів. Дослідники фіксують впровадження шкідливого програмного забезпечення, крадіжку комерційної таємниці, персональних даних клієнтів і співробітників, після чого зловмисники вдаються до <emшантажу та вимагання викупу, погрожуючи публікацією вкраденої інформації.
Китай, VPN і Astrill VPN: як маскується походження північнокорейських операторів
Чому кібероперації КНДР запускаються з території Китаю
Згідно з дослідженням LevelBlue, значна частина північнокорейських IT-працівників діє не безпосередньо з КНДР, а з території Китаю. Такий підхід забезпечує стабільніший доступ до інтернету та можливість використовувати розвинену екосистему VPN-сервісів для приховування реальної геолокації.
Особливо часто згадується Astrill VPN, який вміє обходити «Великий китайський файрвол» і виводити трафік через американські вихідні вузли. У підсумку логі IP-адрес виглядають так, ніби віддалений співробітник підключається з США або Європи, а не з азійського регіону.
Підрозділи Lazarus Group, включно з угрупованням Contagious Interview, за даними дослідників, будують свою інфраструктуру саме навколо таких VPN-ланцюжків, що ускладнює виявлення командно-контрольних серверів та реальних точок присутності операторів.
LevelBlue описує показовий кейс: кандидат на позицію віддаленого фахівця з даними Salesforce був спершу успішно найнятий, але вже за десять днів його доступ до систем відкликали через постійні підключення з китайських IP-адрес, виявлені під час аналізу журналів безпеки.
Штучний інтелект як мультиплікатор кібератак КНДР
Цифрові особистості, резюме та документи, згенеровані ШІ
За даними Microsoft, у кампаніях Jasper Sleet північнокорейські оператори активно застосовують штучний інтелект (ШІ) на всіх етапах атаки — від аналізу ринку вакансій до утримання довгострокового доступу в мережу компанії.
Залучаючи генеративні моделі, зловмисники створюють переконливі профілі кандидатів, які враховують специфіку локальних ринків праці: адаптовані резюме, мотиваційні листи, портфоліо й технічні описи проектів. Додатково використовуються інструменти на кшталт Faceswap, які дають змогу вбудовувати обличчя реальних північнокорейських IT-фахівців у викрадені документи або генерувати «професійні» фото для соцмереж.
«Агентні» ІІ-системи та джейлбрейк мовних моделей
Дослідження Microsoft, Flare та IBM X-Force вказують, що північнокорейські групи експериментують із так званими агентними інструментами ШІ — коли модель отримує завдання і напівавтоматично генерує шкідливий код, фішингові сайти, тексти вакансій чи листи служби підтримки.
У низці випадків операторам вдається обходити обмеження (jailbreak) великих мовних моделей і змушувати їх допомагати в розробці шкідливих компонентів або в оптимізації кібератак. Усередині таких операцій формується чіткий поділ ролей: рекрутери шукають цільові вакансії, фасилітатори забезпечують доступ до облікових записів і платіжних інструментів, IT-працівники виконують реальну роботу й операції з даними, а західні посередники свідомо чи несвідомо надають свої ідентичності та акаунти для маскування.
Комунікація всередині таких груп побудована на простих, але ефективних засобах: електронні таблиці для відстеження відгуків на вакансії, IP Messenger (IPMsg) для децентралізованого обміну повідомленнями та Google Translate для автоматизованого перекладу описів вакансій і листування з працедавцями, у тому числі при взаємодії із сервісами на кшталт ChatGPT.
Інсайдерський ризик та захист бізнесу від північнокорейських віддалених IT-співробітників
Оскільки північнокорейські віддалені IT-працівники прагнуть отримати довгостроковий, довірений доступ до систем, їхня активність усе частіше розглядається як інсайдерська загроза, а не лише як зовнішня кібератака. Критичним стає не тільки виявлення шкідливого ПЗ, а й моніторинг поведінки користувачів із легітимними обліковими записами.
Організаціям доцільно посилити контроль за аномальними шаблонами доступу: нетиповими геолокаціями, підключеннями через невідомі VPN, незвичайною активністю в неробочий час, систематичною ексфільтрацією даних. Значно знижують ризики багатофакторна автентифікація, принцип найменших привілеїв, розділення доступів до продакшн- і тестових середовищ, регулярні перевірки бекграунду віддалених працівників та підрядників.
Варто приділяти увагу й освітнім програмам з кібергігієни для HR, менеджерів і технічних лідерів: саме вони першими стикаються з нетиповими кандидатами, підозрілими профілями в LinkedIn, надто «ідеальними» резюме або небажанням проходити відеоспівбесіди з включеною камерою.
Поширення схем на кшталт Coral Sleet / Jasper Sleet демонструє, що класичний периметровий захист більше не є достатнім. Компаніям, які працюють із віддаленими IT-фахівцями по всьому світу, варто переглянути моделі довіри, інвестувати у моніторинг інсайдерських ризиків, удосконалити контроль VPN-підключень і впроваджувати підхід Zero Trust. Чим раніше організація почне системно відстежувати зловживання легітимними обліковими записами, тим вищі шанси виявити подібні операції КНДР на ранній стадії й не допустити перетворення власної інфраструктури на джерело фінансування ворожих програм ЗМУ.
