Het Amerikaanse ministerie van Justitie (DoJ) heeft donderdag twee Noord-Koreaanse staatsburgers, een Mexicaanse staatsburger, en twee van zijn eigen burgers aangeklaagd wegens hun vermeende betrokkenheid bij het voortdurende frauduleuze informatietechnologie (IT)-werknemersprogramma dat inkomsten wil genereren voor de Democratische Volkspartij. Republiek Korea (DPRK) schendt internationale sancties.
De actie is gericht op Jin Sung-Il (진성일), Pak Jin-Song (박진성), Pedro Ernesto Alonso De Los Reyes, Erick Ntekereze Prince en Emanuel Ashtor. Alonso, woonachtig in Zweden, werd op 10 januari 2025 in Nederland gearresteerd nadat een arrestatiebevel was uitgevaardigd.
Alle vijf de verdachten zijn beschuldigd van samenzwering om schade aan een beschermde computer te veroorzaken, samenzwering om bankfraude en postfraude te plegen, samenzwering om geld wit te wassen en samenzwering om valse identiteitsdocumenten over te dragen. Jin en Pak zijn ook beschuldigd van samenzwering om de International Emergency Economic Powers Act te schenden. Als ze veroordeeld worden, riskeren ze allemaal een maximale gevangenisstraf van twintig jaar.
Deze ontwikkeling is de laatste stap die de Amerikaanse regering heeft gezet om de voortdurende campagne te verstoren waarbij Noord-Koreaanse staatsburgers vervalste en gestolen identiteiten gebruiken om IT-werk op afstand te verkrijgen bij Amerikaanse bedrijven via laptopboerderijen die in het land worden geëxploiteerd.
Andere inspanningen zijn onder meer de arrestatie in augustus 2024 van een man uit Tennessee omdat hij Noord-Koreanen hielp bij het binnenhalen van banen bij Amerikaanse bedrijven en de aanklacht vorige maand tegen 14 Noord-Koreaanse staatsburgers omdat ze naar verluidt 88 miljoen dollar hadden gegenereerd in de loop van een zes jaar durende samenzwering. Vorige week heeft het Amerikaanse ministerie van Financiën sancties opgelegd aan twee Noord-Koreaanse onderdanen en vier bedrijven in Laos en China voor hun werk aan het IT-werknemersprogramma.
“Van ongeveer april 2018 tot en met augustus 2024 hebben de beklaagden en hun niet-aangeklaagde mede-samenzweerders werk verkregen van ten minste vierenzestig Amerikaanse bedrijven”, aldus het DoJ. “Betalingen van tien van die bedrijven genereerden minstens 866.255 dollar aan inkomsten, waarvan de beklaagden het grootste deel vervolgens witwassen via een Chinese bankrekening.”
Volgens het aanklachtdocument solliciteerde Jin in juni 2021 naar een functie bij een niet nader genoemd Amerikaans IT-bedrijf door met zijn toestemming de identiteit van Alonso en een van Ntekereze’s adressen in New York te gebruiken, waardoor hij de kans kreeg op een salaris van $ 120.000 per jaar.
De residentie van Ashtor in North Carolina exploiteerde volgens de afdeling een laptopboerderij waar de door het bedrijf geleverde laptops werden gehost met als doel de bedrijven te laten denken dat hun nieuwe medewerkers zich in het land bevonden, terwijl in werkelijkheid bleek dat ze op afstand loggen in deze systemen vanuit China en Rusland.
Zowel Ntekereze als Ashtor ontvingen laptops van werkgevers uit Amerikaanse bedrijven bij hen thuis en gingen zonder toestemming software voor externe toegang downloaden en installeren, zoals AnyDesk en TeamViewer, om de toegang op afstand te vergemakkelijken. Ze spanden ook samen om betalingen voor het IT-werk op afstand wit te wassen via verschillende rekeningen die bedoeld waren om het plan te promoten en de opbrengsten ervan te verbergen.
Ter bevordering van de regeling zou Ntekereze zijn bedrijf Taggcar Inc. hebben gebruikt om een Amerikaans uitzendbureau acht keer te factureren, voor een totaalbedrag van ongeveer $ 75.709, voor het IT-werk uitgevoerd door Jin, die zich voordeed als Alonso. Een deel van de betaling werd vervolgens overgemaakt naar een online betalingsplatform op naam van Alonso dat toegankelijk was voor zowel Jin als Alonso.
De grootschalige inspanningen van Noord-Korea om hun burgers bij bedrijven over de hele wereld te laten werken, worden gezien als een poging om hoogbetaalde IT-salarissen te verdienen die naar het land kunnen worden teruggesluisd om de prioriteiten van het regime te dienen en toegang te krijgen tot gevoelige documenten voor financiële hefboomwerking.
De zwendel met IT-werknemers, zoals herhaald door het Amerikaanse Federal Bureau of Investigation (FBI) in een afzonderlijk advies, omvat het gebruik van pseudonieme e-mail, sociale media en online vacaturesite-accounts, evenals valse websites, proxycomputers en witting en onwetende derde partijen in de VS en elders.
“De afgelopen maanden heeft de FBI, naast gegevensafpersing, waargenomen dat Noord-Koreaanse IT-medewerkers onrechtmatige toegang tot bedrijfsnetwerken misbruiken om eigendoms- en gevoelige gegevens te exfiltreren, cybercriminele activiteiten te faciliteren en inkomstengenererende activiteiten uit te voeren namens het regime,” zei het agentschap.
“Nadat ze ontdekt waren op bedrijfsnetwerken, hebben Noord-Koreaanse IT-medewerkers slachtoffers afgeperst door gestolen bedrijfseigen gegevens en code te gijzelen totdat de bedrijven aan de losgeldeisen voldoen. In sommige gevallen hebben Noord-Koreaanse IT-medewerkers de bedrijfseigen code van de slachtoffers publiekelijk vrijgegeven.”
Andere gevallen omvatten de diefstal van bedrijfscodeopslagplaatsen van GitHub en pogingen om gevoelige bedrijfsreferenties en sessiecookies te verzamelen om werksessies te starten vanaf niet-bedrijfsapparaten.
Het is niet alleen een Amerikaans fenomeen, want uit een nieuw rapport van het dreigingsinformatiebureau Nisos blijkt dat verschillende Japanse bedrijven ook in het vizier van IT-medewerkers uit de Noord-Korea zijn beland. Het belichtte specifiek het geval van zo’n IT-medewerker die sinds januari 2023 functies op het gebied van software-engineering en full-stack-ontwikkelaar bij verschillende bedrijven bekleedde.
De persona’s van IT-werkers zijn digitaal uitgewerkt om er een laagje legitimiteit aan te geven, compleet met accounts op GitHub en freelance werkgelegenheidswebsites zoals LaborX, ProPursuit, Remote OK, Working Not Working en Remote Hub, om nog maar te zwijgen van een persoonlijke website met gemanipuleerde stockfoto’s.
“Het individu lijkt momenteel werkzaam te zijn onder de naam Weitao Wang bij het Japanse adviesbureau Tenpct Inc., en lijkt eerder werkzaam te zijn geweest onder de naam Osamu Odaka bij het Japanse softwareontwikkelings- en adviesbureau LinkX Inc.” in een rapport gedeeld met The Hacker News.
