Het Amerikaanse ministerie van het kantoor van de Treasury of Foreign Assets Control (OFAC) heeft dinsdag een lid gesanctioneerd van een Noord -Koreaanse hackgroep genaamd genaamd Andariel voor hun rol in de beruchte externe informatietechnologie (IT) werknemersschema.
De schatkist zei dat lied Kum Hyok, een 38-jarige Noord-Koreaanse staatsburger met een adres in de Chinese provincie Jilin, de frauduleuze operatie mogelijk maakte door IT-werknemers in buitenlandse aangenomen IT-werknemers te gebruiken om op afstand te werken met Amerikaanse bedrijven en van plan is om inkomsten met hen te splitsen.
Tussen 2022 en 2023 zou Song de identiteit van Amerikaanse mensen, inclusief hun namen, adressen en sofi -nummers, hebben gebruikt om aliassen voor de ingehuurde werknemers te maken, die deze persona’s vervolgens gebruikten om te poseren als Amerikaanse onderdanen die op zoek zijn naar banen op afstand in het land.
De ontwikkeling komt dagen nadat het Amerikaanse ministerie van Justitie (DOJ) ingrijpende acties heeft aangekondigd die zich richten op de Noord -Korean Information Technology (IT) Worker Scheme, wat leidt tot de arrestatie van één persoon en de inbeslagname van 29 financiële accounts, 21 frauduleuze websites en bijna 200 computers.
Sancties zijn ook opgelegd tegen een Russische nationale en vier entiteiten die betrokken zijn bij een in Rusland gevestigde IT-werknemersregeling die Noord-Koreanen heeft gecontracteerd en gehost om de kwaadaardige operatie af te trekken. Dit omvat –
- Gayk Asatryan, die zijn in Rusland gevestigde bedrijven Asatryan LLC en Fortuna LLC gebruikte om Noord-Koreaanse IT-werknemers in dienst te nemen
- Korea Songkwang Trading General Corporation, dat een deal met Asatryan ondertekende om maximaal 30 IT -werknemers te sturen om in Rusland te werken voor Asatryan LLC
- Korea Saenal Trading Corporation, die een deal met Asatryan tekende om maximaal 50 IT -werknemers te sturen om in Rusland te werken voor Fortuna LLC
De sancties markeren de eerste keer dat een dreigingsacteur verbonden is aan Andariel, een subcluster binnen de Lazarus-groep, is gekoppeld aan het IT-werknemersplan, dat een cruciale illegale inkomstenstroom is geworden voor de sancties-getroffen natie. De Lazarus -groep wordt beoordeeld als aangesloten bij de Democratische Volksrepubliek Korea (DVK) Reconnaissance General Bureau (RGB).
De actie “onderstreept het belang van waakzaamheid op de voortdurende inspanningen van de DVK om zijn WMD- en ballistische raketprogramma’s clandestien te financieren”, zei plaatsvervangend secretaris van de Treasury Michael Faulkender.
“Treasury blijft zich inzetten voor het gebruik van alle beschikbare tools om de inspanningen van het Kim (Jong Un) -regime om sancties te omzeilen door zijn digitale activadiefstal, poging tot imitatie van Amerikanen en kwaadaardige cyberaanvallen te verstoren”
Het IT -werkerschema, ook gevolgd als nikkeltapijt, wagemole en UNC5267, omvat Noord -Koreaanse acteurs die een mix van gestolen en fictieve identiteiten gebruiken om werk te krijgen bij Amerikaanse bedrijven als externe IT -werknemers met als doel een regulier salaris te tekenen dat de toenmalige teruggave van het regime door ingewikkelde cryptocurrency -transacties.
De insider -dreiging is slechts een van de vele methoden die door Pyongyang worden omarmd om inkomsten voor het land te genereren. Uit gegevens verzameld door TRM Labs blijkt dat Noord -Korea achter ongeveer $ 1,6 miljard ligt van de in totaal $ 2,1 miljard gestolen als gevolg van 75 cryptocurrency -hacks en exploits in de eerste helft van 2025 alleen – voornamelijk aangedreven door de blockbuster -overval van Bybit eerder dit jaar.
Een meerderheid van de stappen die zijn genomen om de dreiging tegen te gaan, is ogenschijnlijk afkomstig van Amerikaanse autoriteiten, maar Michael “Barni” Barnhart, directeur I3 Insider Risk Investigator bij DTEX, vertelde The Hacker News dat andere landen ook optreden en soortgelijke acties ondernemen en het bewustzijn van een breder publiek.
“Dit is een complex, transnationaal probleem met veel bewegende delen, dus internationale samenwerking en open communicatie zijn uiterst nuttig,” zei Barnhart.
“Voor een voorbeeld van enkele van de complexiteiten met deze kwestie, kan een Noord-Koreaanse IT-werknemer fysiek zijn gevestigd in China, in dienst van een frontbedrijf dat zich voordoet als een in Singapore gevestigd bedrijf, gecontracteerd aan een Europese leverancier die diensten levert aan klanten in de Verenigde Staten. Dat niveau van operationele gelaagdheid benadrukt hoe belangrijk gezamenlijk onderzoek en inlichtingenschild is in effectief tegen deze activiteit.”
“Het goede nieuws is dat het bewustzijn de afgelopen jaren aanzienlijk is gegroeid en dat we nu de vruchten van die arbeid zien. Deze eerste bewustmakingsstappen maken deel uit van een bredere wereldwijde verschuiving naar het herkennen en actief verstoren van deze bedreigingen.”
Nieuws over de sancties die aansluiten bij rapporten die de Noord-Korea-groep opgejaagde als Kimsuky (aka APT-C-55) een achterdeur gebruikt genaamd HappyDoor in aanvallen op Zuid-Koreaanse entiteiten. HappyDoor is volgens Ahnlab al in 2021 in gebruik genomen.
Meestal verspreid via speer-phishing-e-mailaanvallen, is de malware in de loop der jaren getuige geweest van gestage verbeteringen, waardoor het gevoelige informatie kan oogsten; Commando’s, PowerShell -code en batchscripts uitvoeren; en interesse bestanden uploaden.
“Vooral de vermomming van een professor of een academische instelling op zich nemen, heeft de dreigingsacteur gebruik van sociale engineeringtechnieken zoals Spear-phishing om e-mails te distribueren met bijlagen die, zodra ze worden uitgevoerd, een achterdeur installeren en ook extra malware kunnen installeren,” merkte Ahnlab op.
