Het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën heeft twee personen en vier entiteiten bestraft vanwege hun vermeende betrokkenheid bij illegale inkomstengenererende programma’s voor de Democratische Volksrepubliek Korea (DPRK) door IT-medewerkers over de hele wereld te sturen om werk te vinden en een stabiele bron van inkomsten voor het regime, in strijd met internationale sancties.
“Deze IT-medewerkers verhullen hun identiteit en locatie om op frauduleuze wijze freelance-arbeidscontracten te verkrijgen van klanten over de hele wereld voor IT-projecten, zoals de ontwikkeling van software en mobiele applicaties”, aldus het ministerie van Financiën.
“De regering van de DVK houdt tot 90% van de lonen in die deze overzeese arbeiders verdienen, waardoor jaarlijkse inkomsten van honderden miljoenen dollars worden gegenereerd voor de wapenprogramma’s van het Kim-regime, waaronder massavernietigingswapens (MVW) en ballistische raketprogramma’s.”
De actie vertegenwoordigt het nieuwste salvo in de voortdurende inspanningen van de Amerikaanse regering om de verschillende financieel gemotiveerde stromingen die de strategische doelstellingen van Pyongyang willen bevorderen, hard aan te pakken. De personen en bedrijven die door OFAC zijn bestraft, worden hieronder vermeld:
- Afdeling 53 van het Ministerie van de Volksstrijdkrachten, die naar verluidt inkomsten genereert via dekmantelbedrijven die verband houden met IT- en softwareontwikkeling
- Korea Osong Shipping Co, een dekmantelbedrijf van Department 53 dat sinds minstens 2022 IT-medewerkers uit de DVK in Laos onderhield
- Chonsurim Trading Corporation, een dekmantelbedrijf van Department 53 dat een andere groep IT-medewerkers uit de DVK in Laos in dienst heeft genomen
- Liaoning China Trade Industry Co., Ltd, een in China gevestigd bedrijf dat apparatuur van Department 53 heeft verzonden, namelijk. notebook- en desktopcomputers, grafische kaarten, HDMI-kabels en netwerkapparatuur om de activiteiten van IT-medewerkers in het buitenland te vergemakkelijken
- Jong In Chol, de voorzitter van Chonsurims delegatie van IT-werkers in Laos
- Son Kyong Sik, een in China gevestigde hoofdvertegenwoordiger van Korea Osong Shipping Co
Beide frontbedrijven zouden valse identiteiten en aliassen hebben gebruikt om met klanten te communiceren en softwareontwikkelingswerk uit te voeren voor bedrijven over de hele wereld.
Het frauduleuze systeem voor IT-werknemers trok in 2023 de algemene aandacht, hoewel wordt aangenomen dat dergelijke operaties al sinds 2018 aan de gang zijn, toen het ministerie van Financiën twee bedrijven, Yanbian Silverstar en Volasys Silver Star, sancties oplegde voor de ‘export van werknemers uit Noord-Korea, inclusief de export naar inkomsten genereren voor de regering van Noord-Korea of de Arbeiderspartij van Korea.”
Het activiteitencluster wordt gevolgd door de cyberbeveiligingsgemeenschap onder de namen Famous Chollima, Nickel Tapestry, UNC5267 en Wagemole.
Uit recente analyses is gebleken dat Noord-Koreaanse IT-medewerkers steeds meer in cryptocurrency- en Web3-bedrijven infiltreren en “hun netwerken, activiteiten en integriteit in gevaar brengen.” De insider-dreigingsoperatie heeft ook mensen in de VS geïdentificeerd die bereid zijn hun plannen te ondersteunen door laptopboerderijen te runnen in ruil voor een maandelijks bedrag.
Verhoogde publieke onthullingen over deze campagnes hebben verder geleid tot een golf van afpersingspogingen door het stelen van intellectueel eigendom van de bedrijven waarvoor ze werken en het eisen van ‘meer cryptocurrency dan ooit tevoren’ omdat ze het niet publiekelijk vrijgeven of weggeven aan rivalen, Google- Mandiant, eigendom van Mandiant, vertelde The Record.
Dat gezegd hebbende, is de operatie van IT-werkers slechts een van de vele methoden die Noord-Korea gebruikt om illegaal inkomsten te genereren. Door de staat gesponsorde Noord-Koreaanse hackgroepen hebben een lange geschiedenis in het aanvallen van ontwikkelaars met werkgerelateerde lokmiddelen om verschillende soorten malware te leveren die diefstal van gegevens en cryptocurrency kunnen vergemakkelijken.
“De DVK blijft vertrouwen op zijn duizenden buitenlandse IT-werkers om inkomsten te genereren voor het regime, om zijn illegale wapenprogramma’s te financieren en om zijn steun aan de Russische oorlog in Oekraïne mogelijk te maken”, aldus waarnemend staatssecretaris van het ministerie van Financiën voor Terrorisme en Financiële Zaken. Inlichtingen Bradley T. Smith.
“De Verenigde Staten blijven vastbesloten deze netwerken te ontwrichten, waar ze ook actief zijn, die de destabiliserende activiteiten van het regime faciliteren.”
