Het Amerikaanse ministerie van Justitie (DOJ) heeft maandag ingrijpende acties aangekondigd die zich richten op de Noord -Koreaanse informatietechnologie (IT) Worker Scheme, wat leidde tot de arrestatie van één persoon en de inbeslagname van 29 financiële accounts, 21 frauduleuze websites en bijna 200 computers.
De gecoördineerde actie zag zoekopdrachten van 21 bekende of vermoedelijke “laptopboerderijen” tussen 10 en 17 juni 2025 in 14 staten in de VS die door Noord-Koreaanse IT-werknemers werden gebruikt om op afstand verbinding te maken met slachtoffernetwerken via door het bedrijf geleverde laptopcomputers.
“De Noord -Koreaanse actoren werden bijgestaan door personen in de Verenigde Staten, China, Verenigde Arabische Emiraten en Taiwan, en verkregen met succes werk bij meer dan 100 Amerikaanse bedrijven,” zei de DOJ.
Het Noord -Koreaanse IT -werknemersplan is een van de cruciale raders geworden in de Democratische Volksrepubliek Noord -Korea (DVK) inkomstengeneratiemachine op een manier die internationale sancties omzeilt. De frauduleuze operatie, beschreven door Cybersecurity Company DTEX als een door de staat gesponsord misdaadsyndicaat, houdt in dat Noord-Koreaanse actoren werkgelegenheid bij Amerikaanse bedrijven als externe IT-werknemers krijgen, met behulp van een mix van gestolen en fictieve identiteiten.
Zodra ze een baan hebben geland, ontvangen de IT -werknemers regelmatig salarisbetalingen en krijgen ze toegang tot eigen werkgeverinformatie, inclusief export gecontroleerde Amerikaanse militaire technologie en virtuele valuta. Bij één incident zouden de IT-werknemers banen hebben beveiligd bij een naamloze Blockchain Research and Development Company in Atlanta en meer dan $ 900.000 aan digitale activa hebben gestolen.
Noord -Koreaanse IT -arbeiders vormen een serieuze bedreiging, omdat ze niet alleen illegale inkomsten voor het Hermit Kingdom genereren door “legitiem” werk, maar ze bewapenen ook hun insider -toegang tot het oogsten van gevoelige gegevens, steelt fondsen en pakken hun werkgevers zelfs af in ruil voor het niet openbaar maken van hun gegevens.
“Deze regelingen zijn gericht op en stelen van Amerikaanse bedrijven en zijn ontworpen om sancties te ontwijken en de illegale programma’s van het Noord -Koreaanse regime te financieren, inclusief de wapenprogramma’s”, aldus assistent -procureur -generaal John A. Eisenberg van de nationale veiligheidsdivisie van de afdeling.
Vorige maand zei de DOJ dat het een klacht over civiele verbeurdverklaring had ingediend bij de Amerikaanse rechtbank voor het District of Columbia, die meer dan $ 7,74 miljoen in cryptocurrency, niet-schimmelbare tokens (NFTS) en andere digitale activa) en andere digitale activa had gekoppeld aan de Global IT-werknemersregeling.
“Noord -Korea blijft de bedoeling zijn wapenprogramma’s te financieren door Amerikaanse bedrijven te bedriegen en Amerikaanse slachtoffers van identiteitsdiefstal te exploiteren”, aldus assistent -directeur Roman Rozhavsky van de FBI Counter Intelligence Division. “Noord -Koreaanse IT -arbeiders die zich voordoen als Amerikaanse burgers die frauduleus werk hebben verkregen bij Amerikaanse bedrijven, zodat ze honderden miljoenen dollars naar het autoritaire regime van Noord -Korea konden leiden.”
De belangrijkste van de acties die maandag worden aangekondigd, omvat de arrestatie van de Amerikaanse nationale Zhenxing “Danny” Wang van New Jersey, die wordt beschuldigd van het plegen van een meerjarige fraudeschema in collusie met mede-samenzweerders om het op afstand te krijgen met Amerikaanse bedrijven, die uiteindelijk meer dan $ 5 miljoen in omzet genereren.
Andere personen die aan de regeling hebben deelgenomen, zijn zes Chinese en twee Taiwanese onderdanen –
- Jing Bin Huang (靖斌 黄 黄)
- Baoyu Zhou (周宝玉)
- Tong Yuze (佟雨泽)
- Yongzhe Xu (徐勇哲 en يونجزهي أكسو)
- Ziyou Yuan (زيو)
- Zhenbang Zhou (周震邦)
- Menging liu (劉 孟婷 孟婷), en
- Enchia Liu (刘恩)
Volgens de aanklacht hebben de beklaagden en andere mede-samenzweerders de identiteit van meer dan 80 Amerikaanse individuen aangetast om tussen 2021 en oktober 2024 op afstand te verkrijgen bij meer dan 100 Amerikaanse bedrijven. mede-samenzweerders en IT-werknemers en bespreken het schema.
Om de bedrijven te misleiden door te denken dat de externe werknemers in de VS zijn gevestigd, ontvingen en organiseerden Wang et al de door het bedrijf uitgegeven laptops in hun woningen, en stelde de Noord-Koreaanse dreigingsactoren in staat om verbinding te maken met deze apparaten met behulp van KVM (kort voor “toetsenbord-video-muis”) schakelaars zoals Pikvm of Tinypilot.
“Kejia Wang en Zhenxing Wang creëerden ook Shell -bedrijven met overeenkomstige websites en financiële accounts, waaronder Hopana Tech LLC, Tony WKJ LLC en Independent Lab LLC, om het te laten lijken alsof de overzeese IT -werknemers waren verbonden aan legitieme Amerikaanse bedrijven,” zei de DOJ. “Kejia Wang en Zhenxing Wang hebben deze en andere financiële rekeningen opgericht om geld te ontvangen van slachtoffer van Amerikaanse bedrijven, waarvan een groot deel werd overgedragen aan overzeese mede -samenzweerders.”
In ruil voor het verlenen van deze diensten worden Wang en zijn mede-samenzweerders naar schatting niet minder dan $ 696.000 ontvangen van de IT-werknemers.
Afzonderlijk ontsloeg het noordelijke district van Georgia een wire-fraude met vijf tellen en het witwassen van geld die vier Noord-Koreaanse onderdanen in rekening brengen, Kim Kwang Jin (김관진), Kang Tae Bok (강태복), Jong Pong Ju (정봉주), en Chang Nam IL (창남일), met meer dan $ 900.000 van het Blockchain-bedrijf in Atlanta.
Gerechtelijke documenten beweren dat de beklaagden in oktober 2019 naar de Verenigde Arabische Emiraten over reisden over Noord -Koreaanse documenten en samenwerkten als een team. Ergens tussen december 2020 en mei 2021 werden Kim Kwang Jin en Jong Pong Ju ingehuurd als ontwikkelaars door het Blockchain Company en respectievelijk een Servisch virtueel tokenbedrijf. Vervolgens handelde het Servische bedrijf, op aanbeveling van de aanbeveling van Jong Pong Ju, Chang Nam IL.
Nadat Kim Kwang Jin en Jong Pong Ju de trust van hun werkgevers hadden verkregen en projecten kregen die hen toegang gaven tot de virtuele valutaactiva van de onderneming, gingen de dreigingsactoren de activa in februari en maart 2022 door met het stelen
De gestolen opbrengsten werden vervolgens gewassen met behulp van een cryptocurrency -mixerservice die bekend staat als Tornado Cash en uiteindelijk overgebracht naar virtuele valuta -uitwisselingsrekeningen die zijn gecontroleerd door Kang Tae Bok en Chang Nam IL. Deze accounts, zei de DOJ, werden geopend met behulp van frauduleuze Maleisische identificatiedocumenten.
“Deze arrestaties zijn een krachtige herinnering dat de bedreigingen van DPRK IT -werknemers verder gaan dan het genereren van inkomsten,” Michael “Barni” Barnhart, hoofdrisico -onderzoeker van I3 Insider bij DTEX, vertelde The Hacker News in een verklaring. “Eenmaal binnen kunnen ze kwaadaardige activiteiten uitvoeren vanuit vertrouwde netwerken, met ernstige risico’s voor de nationale veiligheid en bedrijven wereldwijd.”
“De acties van de Amerikaanse overheid (…) zijn absoluut top en een cruciale stap in het verstoren van deze dreiging. DVK -actoren gebruiken in toenemende mate voorbedrijven en vertrouwde derden om voorbij traditionele aanwervingsbeschermers te glijden, inclusief waargenomen gevallen van die in gevoelige sectoren zoals de overheid en de Defensie -industriële basis. Organisaties moeten verder kijken dan hun aanvragende portalen en reeks van hun volledige talent, omdat de bedreiging is.”
Microsoft schort 3.000 e -mailaccounts op die aan IT -werknemers zijn gekoppeld
Microsoft, die sinds 2020 de IT-werknemersdreiging heeft gevolgd onder de naam van de naam Jasper Sleet (voorheen Storm-0287), zei dat het 3.000 bekende Outlook/Hotmail-accounts heeft opgeschort die door de dreigingsactoren zijn gecreëerd als onderdeel van zijn bredere inspanningen om de Noord-Koreaanse cyberactiviteiten te verstoren. Het activiteitencluster wordt ook gevolgd als nikkeltapijt, wagemole en UNC5267.
Het fraudeverschema van de werknemers begint met het opzetten van identiteiten zodat ze overeenkomen met de geolocatie van hun doelorganisaties, waarna ze digitaal worden uitgewerkt via sociale mediaprofielen en gefabriceerde portfolio’s op ontwikkelaarsgerichte platforms zoals GitHub om de persona’s een fineer van legitimiteit te geven.
De tech -gigant riep de exploitatie van de IT -werknemers van kunstmatige intelligentie (AI) tools om afbeeldingen te verbeteren en stemmen te veranderen om de geloofwaardigheid van hun werkprofielen te vergroten en er meer authentiek voor werkgevers uit te lijken. De IT -werknemers zijn ook gevonden om nepprofielen op te zetten op LinkedIn om met recruiters te communiceren en banen aan te vragen.
“Deze zeer bekwame werknemers zijn meestal gevestigd in Noord -Korea, China en Rusland, en gebruiken tools zoals virtuele privé -netwerken (VPN’s) en externe monitoring- en management (RMM) tools samen met het verwerken van medeplichtigen om hun locaties en identiteiten te verbergen,” zei het Microsoft Threat Intelligence -team.
Een andere opmerkelijke tactiek omarmd door Jasper Sleet draait om het plaatsen van vacatures voor facilitator onder het mom van externe taakpartnerschappen om IT -werknemers te helpen bij het beveiligen van werk, identiteitscontroles doorgeven en op afstand werken. Naarmate de relatie met de facilitators groeit, kunnen ze ook worden belast met het maken van een bankrekening voor de IT -werknemers of het kopen van mobiele telefoonnummers of simkaarten.
Bovendien zijn de steunende medeplichtigen verantwoordelijk voor het valideren van de nep -identiteiten van de IT -werknemers tijdens het werkgelegenheidsverificatieproces met behulp van online achtergrondcontroleserviceproviders. De ingediende documenten omvatten licenties van nep- of gestolen rijbewijs, kaarten voor sociale zekerheid, paspoorten en permanente identificatiekaarten voor ingezetenen.
Als een manier om de dreiging tegen te gaan, zei Microsoft dat het een aangepaste machine learning-oplossing heeft ontwikkeld die is aangedreven door eigen bedreigingsinformatie die verdachte accounts kan komen die gedrag vertonen die aansluiten bij bekend DVK-tradecraft voor vervolgacties.
“Het frauduleuze werknemersschema van Noord-Korea is sindsdien geëvolueerd en vestigde zich als een goed ontwikkelde operatie die Noord-Koreaanse externe werknemers in staat heeft gesteld technologiegerelateerde rollen in verschillende industrieën te infiltreren,” zei Redmond. “In sommige gevallen hebben slachtofferorganisaties zelfs gemeld dat externe IT -werknemers enkele van hun meest getalenteerde werknemers waren.”
