Het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën heeft sancties opgelegd aan zes personen en twee entiteiten vanwege hun betrokkenheid bij het informatietechnologieprogramma (IT) van de Democratische Volksrepubliek Korea (DVK) met als doel Amerikaanse bedrijven te bedriegen en illegale inkomsten te genereren voor het regime om zijn programma’s voor massavernietigingswapens (MVW) te financieren.
“Het Noord-Koreaanse regime richt zich op Amerikaanse bedrijven via misleidende plannen van buitenlandse IT-agenten, die gevoelige gegevens bewapenen en bedrijven afpersen voor aanzienlijke betalingen”, aldus minister van Financiën Scott Bessent.
Het frauduleuze plan, ook wel Coral Sleet/Jasper Sleet, PurpleDelta en Wagemole genoemd, is gebaseerd op valse documentatie, gestolen identiteiten en verzonnen persona’s om de IT-medewerkers te helpen hun ware afkomst te verdoezelen en banen te bemachtigen bij legitieme bedrijven in de VS en elders. Een onevenredig deel van de salarissen wordt vervolgens teruggesluisd naar Noord-Korea om de raketprogramma’s van het land te faciliteren, wat in strijd is met internationale sancties.
In sommige gevallen worden deze inspanningen aangevuld met de inzet van malware om bedrijfseigen en gevoelige informatie te stelen, en door afpersingspogingen te ondernemen door losgeld te eisen in ruil voor het niet publiekelijk lekken van de gestolen gegevens.
De personen en entiteiten die het doelwit zijn van de laatste ronde van OFAC-sancties worden hieronder vermeld:
- Amnokgang technologieontwikkelingsbedrijfeen IT-bedrijf dat delegaties van buitenlandse IT-werknemers beheert en andere illegale inkoopactiviteiten uitvoert om militaire en commerciële technologie te verkrijgen en te verkopen via hun overzeese netwerken.
- Nguyen Quang Vietde Chief Executive Officer van een Vietnamees bedrijf Quangvietdnbg International Services Company Limited dat valutawisseldiensten voor Noord-Koreanen mogelijk maakt. Naar schatting heeft het bedrijf tussen medio 2023 en medio 2025 ongeveer $2,5 miljoen omgezet in cryptocurrency.
- Doe Phi Khanheen medewerker van Kim Se Un, die in juli 2025 door de VS werd gesanctioneerd. Do zou hebben opgetreden als Kim’s gevolmachtigde en Kim toestond zijn identiteit te gebruiken om bankrekeningen te openen en de opbrengsten van IT-medewerkers wit te wassen.
- Hoang Van Nguyendie Kim ook helpt bij het openen van bankrekeningen en cryptocurrency-transacties voor Kim mogelijk maakt.
- Yun Song Gukeen Noord-Koreaanse staatsburger die sinds minstens 2023 leiding gaf aan een groep IT-medewerkers die freelance IT-werk uitvoerden vanuit Boten, Laos. Yun heeft enkele tientallen financiële transacties ter waarde van meer dan $ 70.000 gecoördineerd met Hoang Minh Quang met betrekking tot IT-diensten, en heeft samengewerkt met York Louis Celestino Herrera het ontwikkelen van freelance IT-servicecontracten.
Deze ontwikkeling komt op het moment dat LevelBlue benadrukte dat IT-werknemers Astrill VPN gebruiken om hun activiteiten uit te voeren terwijl ze zich in landen als China bevinden, vanwege het vermogen van de dienst om de Chinese Grote Firewall te omzeilen. Het idee is om verkeer door Amerikaanse uitgangsknooppunten te tunnelen, waardoor ze zich effectief kunnen voordoen als legitiem huishoudelijk personeel.
“Deze dreigingsactoren opereren doorgaans vanuit China in plaats van vanuit Noord-Korea, en wel om twee redenen: een betrouwbaardere internetinfrastructuur en de mogelijkheid om VPN-diensten te gebruiken om hun ware geografische oorsprong te verbergen”, aldus veiligheidsonderzoeker Tue Luu. “De subgroepen van de Lazarus Group, waaronder Contagious Interview, vertrouwen op deze mogelijkheid om onbeperkt toegang te krijgen tot het wereldwijde internet, de command-and-control-infrastructuur te beheren en hun ware locatie te maskeren.”
Het cyberbeveiligingsbedrijf zei ook dat het een mislukte poging van Noord-Korea had ontdekt om een organisatie te infiltreren door te reageren op een hulpvraag-advertentie. De IT-medewerker, die op 15 augustus 2025 werd aangenomen als externe medewerker om aan Salesforce-gegevens te werken, werd tien dagen later ontslagen nadat hij indicatoren vertoonde die consistente logins uit China aantoonden.
Een opmerkelijk aspect van het vak van Jasper Sleet is het gebruik van kunstmatige intelligentie om identiteitsfabricage, social engineering en operationele persistentie op de lange termijn tegen lage kosten mogelijk te maken, wat onderstreept hoe door AI aangedreven diensten technische barrières kunnen verlagen en de capaciteiten van bedreigingsactoren kunnen vergroten.
“Jasper Sleet maakt gebruik van AI gedurende de hele levenscyclus van de aanval om aangenomen te worden, aangenomen te blijven en de toegang op grote schaal te misbruiken”, aldus Microsoft. “Dreigingsactoren gebruiken AI om het verkenningsproces te bekorten dat de ontwikkeling van overtuigende digitale persona’s informeert die zijn toegesneden op specifieke arbeidsmarkten en rollen.”
Een ander cruciaal onderdeel is het gebruik van een AI-toepassing genaamd Faceswap om de gezichten van Noord-Koreaanse IT-medewerkers in gestolen identiteitsdocumenten in te voegen en gepolijste portretfoto’s voor cv’s te genereren. Daarbij zijn deze inspanningen niet alleen gericht op het verbeteren van de nauwkeurigheid van hun campagnes, maar ook op het vergroten van de geloofwaardigheid door het creëren van overtuigende digitale identiteiten.
Bovendien wordt aangenomen dat de dreiging van IT-werknemers op afstand gebruik heeft gemaakt van kunstmatige AI-tools om valse bedrijfswebsites te creëren en om snel malwarecomponenten te genereren, verfijnen en opnieuw te implementeren, in sommige gevallen door het jailbreaken van grote taalmodellen (LLM’s).
“Dreigingsactoren zoals Noord-Koreaanse IT-medewerkers op afstand vertrouwen op langdurige, vertrouwde toegang”, aldus Microsoft. “Vanwege dit feit moeten verdedigers frauduleus werk en misbruik van toegang beschouwen als een scenario voor insiderrisico, waarbij de nadruk moet liggen op het opsporen van misbruik van legitieme inloggegevens, abnormale toegangspatronen en aanhoudende lage en langzame activiteit.”
In een gedetailleerd rapport gepubliceerd door Flare en IBM X-Force waarin de tactieken en technieken worden onderzocht die worden gebruikt door IT-medewerkers, is aan het licht gekomen dat de bedreigingsactoren urenstaten gebruiken voor het volgen van sollicitaties en werkvoortgang, IP Messenger (ook bekend als IPMsg) voor gedecentraliseerde interne communicatie, en Google Translate om functiebeschrijvingen te vertalen, sollicitaties te maken en zelfs reacties van tools als ChatGPT te interpreteren.
Het IT-werknemersprogramma is gebouwd bovenop een meerlagige operationele structuur waarbij recruiters, facilitators, IT-werkers en medewerkers betrokken zijn, die elk een afzonderlijke rol spelen:
- Recruiters, die verantwoordelijk zijn voor het screenen van potentiële IT-medewerkers en het opnemen van eerste interviewsessies om naar facilitators te sturen.
- Facilitators en IT-medewerkers, die belast zijn met het creëren van persona’s, het verkrijgen van een freelance of fulltime baan en het onboarden van nieuwe medewerkers.
- Medewerkers, die worden gerekruteerd om hun persoonlijke identiteit en/of informatie te doneren om de IT-medewerkers te helpen het wervingsproces te voltooien en door het bedrijf uitgegeven laptops te ontvangen.
“Met de hulp van aangeworven westerse medewerkers, voornamelijk van LinkedIn en GitHub, die, gewillig of ongewild, hun identiteit verstrekken voor gebruik in het fraudeprogramma voor IT-werknemers, kan NKITW dieper en betrouwbaarder in een organisatie doordringen, voor een langere periode”, aldus de bedrijven in een rapport gedeeld met The Hacker News.
“De activiteiten van IT-werkers in Noord-Korea zijn wijdverspreid en diep geïntegreerd binnen de partijstaat van de DVK. Het is een integraal onderdeel van het apparaat van de DVK voor het genereren van inkomsten en het ontwijken van sancties.”
