Het Amerikaanse ministerie van Justitie (DOJ) zei dat het een klacht over civiele verbeurdverklaring heeft ingediend bij de federale rechtbank die zich richt op meer dan $ 7,74 miljoen in cryptocurrency, niet-schieper tokens (NFT’s) en andere digitale activa die naar verluidt zijn gekoppeld aan een wereldwijde IT-werknemersschema georkestreerd door Noord-Korea.
“Jarenlang heeft Noord -Korea de wereldwijde externe IT -contract- en cryptocurrency -ecosystemen geëxploiteerd om Amerikaanse sancties te ontwijken en haar wapenprogramma’s te bankroll,” zei Sue J. Bai, hoofd van de nationale veiligheidsdivisie van het ministerie van Justitie.
Het ministerie van Justitie zei dat de fondsen oorspronkelijk werden beperkt in verband met een aanklacht in april 2023 tegen Sim Hyon-SoP, een vertegenwoordiger van Noord-Koreaanse Buitenlandse Trade Bank (FTB) die wordt verondersteld samen te spooken met de IT-werknemers.
De IT-werknemers, voegde de afdeling toe, kregen werkgelegenheid bij Amerikaanse cryptocurrency-bedrijven die nep-identiteiten gebruikten en wooiden vervolgens hun onrechtmatig verkregen winsten door SIM om de strategische doelstellingen van Pyongyang te bevorderen in strijd met de sancties die zijn opgelegd door het Amerikaanse Treasury’s Office of Foreign Assets Control (OFAC) en de Verenigde Naties.
Het frauduleuze schema is geëvolueerd tot een massale operatie sinds de oorsprong in 2017. De illegale werkgelegenheidsoperatie maakt gebruik van een combinatie van gestolen en fictieve identiteiten, geholpen met de hulp van kunstmatige intelligentie (AI) -hulpmiddelen zoals OpenAi Chatgpt, om due diligence -controles en veilige fragentiebanen te omzeilen.
Gehouden onder de monikers wagmole en UNC5267, wordt de activiteit beoordeeld als aangesloten bij de werknemerspartij van Korea en wordt gezien als een methodisch gemanipuleerde strategie om IT -werknemers in legitieme bedrijven in te bedden om een gestage bron van inkomsten voor Noord -Korea te trekken.
Naast het verkeerd weergeven van identiteiten en locaties, houdt een kernaspect van de operatie in dat facilitators werven om laptopbedrijven over de hele wereld te runnen, video -interviewfasen mogelijk te maken en de opbrengst terug te doen via verschillende accounts.
Een dergelijke facilitator van de laptopboerderij was Christina Marie Chapman, die eerder in februari schuldig pleitte voor haar betrokkenheid bij de illegale inkomstenregeneratieschema. In een rapport dat vorige maand werd gepubliceerd, onthulde The Wall Street Journal hoe een LinkedIn -bericht in maart 2020 Chapman, een voormalige serveerster en massagetherapeut met meer dan 100.000 volgers op Tiktok, in de ingewikkelde zwendel droeg. Ze is gepland om op 16 juli te worden veroordeeld.
“Na het witwassen van deze fondsen, zouden de Noord -Koreaanse IT -arbeiders ze naar verluidt terugsturen naar de Noord -Koreaanse regering, soms via Sim en Kim Sang Man,” zei de DOJ. “Kim is een Noord -Koreaanse National die de chief executive officer is van ‘Chinyong’, ook bekend als ‘Jinyong IT Sooperation Company’.
Een analyse van SIM’s cryptocurrency -portemonnee door TRM Labs heeft onthuld dat deze van augustus 2021 tot maart 2023 meer dan $ 24 miljoen in cryptocurrency heeft ontvangen.
“De meeste van deze fondsen werden teruggevoerd op Kim’s rekeningen, die werden geopend met behulp van vervalste Russische identiteitsdocumenten en toegankelijk zijn vanuit Koreaanse talende apparaten die vanuit de VAE en Rusland opereren,” zei TRM Labs. “Sim, een Noord-Koreaanse functionaris, opereerde vanuit Dubai en handhaafde een zelf gehoste portemonnee die witgewassen fondsen uit tientallen bronnen ontving.”
Kim, van zijn basis in Vladivostok, Rusland, trad op als een tussenpersoon tussen de IT-werknemers en FTB, met twee accounts om geld van hen te verzamelen en de opbrengst opnieuw te distribueren naar SIM en aan andere portefeuilles die verbonden zijn met Noord-Korea.
Cybersecurity Company DTEX heeft de IT-werknemersdreiging gekenmerkt als een door de overheid gesponsord misdaadsyndicaat dat voornamelijk is gericht op het ontwijken van sancties en het genereren van winst, waarbij de dreigingsacteurs geleidelijk verschuiven van laptopbedrijven naar het gebruik van hun eigen machines als onderdeel van bedrijven die uw eigen apparaat (BYOD) beleid (BYOD) beleid.
“Mogelijkheid is echt hun enige tactiek en alles wordt behandeld als een soort hulpmiddel,” vertelde Michael Barnhart, DTEX Principal i3 Insider Risk Investigator bij DTEX Systems, aan The Hacker News.
“Als de focus ligt op laptopbedrijven, wat heel goed is geweest om dat woord daar te krijgen, dan wil deze opportunistische natie natuurlijk aangetrokken worden tot waar het pad veel gemakkelijker is als het invloed heeft op operaties. Tot laptop boerderijen helemaal niet langer effectief zijn, dan zal dat nog steeds een optie zijn, maar misbruik van BYOD was iets dat Dtex had gezien in onderzoek en niet gepubliceerd als de boerderij was.”
DTEX wees er verder op dat deze IT-werknemers onder een van de twee categorieën konden vallen: Revenue IT-werknemers (R-ITW) of kwaadwillende IT-werknemers (M-ITW), die elk hun eigen functie hebben binnen de cyberstructuur van Noord-Korea.
Hoewel het R-ITW-personeel minder bevoorrecht is en voornamelijk gemotiveerd is om geld te verdienen voor het regime, gaan M-ITW-acteurs verder dan het genereren van inkomsten door een slachtofferklant af te persen, een cryptocurrency-server te saboteren, waardevolle intellectueel eigendom te stelen of kwaadaardige code in een omgeving uit te voeren.
Chinyong, volgens het insider -risicobeheerbedrijf, is een van de vele IT -bedrijven die zijn werknemers heeft ingezet in een combinatie van freelance IT -werk en cryptocurrency diefstal door gebruik te maken van hun insider -toegang tot blockchain -projecten. Het werkt vanuit China, Laos en Rusland.
Twee personen geassocieerd met Chinyong-gerelateerde IT-werknemersinspanningen zijn ontmaskerd omdat ze de Personas Naoki Murano en Jenson Collins hebben gebruikt om geld in te zamelen voor Noord-Korea, waarbij Murano eerder verbonden was met een overval van $ 6 miljoen bij crypto-bedrijf in september 2024.
“Uiteindelijk vereist de detectie van DPRK-gekoppelde laptopbedrijven en op afstand werknemersschema’s om verdedigers verder te kijken dan traditionele indicatoren van compromissen en verschillende vragen te stellen-over infrastructuur, gedrag en toegang,” zei beveiligingsonderzoeker Matt Ryan. “Deze campagnes zijn niet alleen over malware of phishing; ze zijn over bedrog op schaal, vaak uitgevoerd op manieren die naadloos samengaan met legitiem werk op afstand.”
Verder onderzoek naar de uitgestrekte multi-miljoen dollarfraude heeft verschillende rekeningen ontdekt die zijn gekoppeld aan nepdomeinen die zijn opgezet voor de verschillende frontbedrijven die werden gebruikt om nep-verwijzingen naar de IT-werknemers te verstrekken. Deze accounts werden geïnfecteerd met informatie-stelen malware, genoteerd Flashpoint, waardoor het sommige aspecten van hun tradecraft kon markeren.
Het bedrijf zei dat het een gecompromitteerde gastheer identificeerde in Lahore, Pakistan, die een opgeslagen referentie bevatte voor een e -mailaccount dat werd gebruikt als een contactpunt bij het registreren van de domeinen die zijn geassocieerd met Baby Box Info, Helix US en Cubix Tech Us.
Bovendien heeft de browsergeschiedenis vastgelegd door de Stealer Malware in een ander exemplaar Google Translate URL’s met betrekking tot tientallen vertalingen tussen Engels en Koreaans, inclusief die met betrekking tot het verstrekken van vervalste taakreferenties en het verzenden van elektronische apparaten.
Dat is niet alles. Recent onderzoek heeft ook een “geheime, meerlagig externe-controlesysteem” gelegd dat door Noord-Koreaanse IT-werknemers wordt gebruikt om aanhoudende toegang tot door het bedrijf uitgegeven laptops in een laptopboerderij te vestigen terwijl ze fysiek in Azië zijn gevestigd.
“De operatie hield gebruik van een combinatie van low-level protocol-signalering en legitieme samenwerkingstools om externe toegang te handhaven en gegevens zichtbaarheid en -controle mogelijk te maken met behulp van Zoom,” zei Sygnia in een rapport gepubliceerd in april 2025. “De aanvalsketen (…) Betrokken het misbruik van ARP-pakketten voor ARP-pakketten voor ARP-pakketten voor ARP-pakketten voor ARP-pakketten voor ARP-pakketten voor ARP-pakketten voor ARP-pakketten.
“Om stealth en automatisering verder te verbeteren, waren specifieke Zoom-clientconfiguraties vereist. Instellingen werden zorgvuldig aangepast om gebruikersgerichte indicatoren en audiovisuele storingen te voorkomen. Gebruikers werden voortdurend aangemeld, video en audio werden automatisch gedempt bij het verbinden, deelnemersnamen waren verborgen, schermafbeelding geïnitieerd zonder zichtbare indicatoren en een previewen van Windows-aangeschreven, en een previewen van Windows-geschikten.”
Een aanvulling op Wagemole is een andere campagne genoemd als besmettelijk interview (aka misdeinsde ontwikkeling, beroemde Chollima, Gwisin -bende, vasthoudende pungsan, UNC5342 en ongeldige Dokkaebi) die voornamelijk kwaadaardige activiteiten richt op ontwikkelaars die ontwikkelaars richten op ontwikkelaars om ontwikkelaars te krijgen die niet -geautoriseerde bedrijfstoegang krijgen tegenover werking om werk te krijgen.
“Gwisin -bende eerlijk gezegd zijn het werkers die in plaats van het lange proces van sollicitatie te nemen voor een baan, ze zich richten op iemand die al de baan had,” zei Barnhart. “Ze lijken verhoogd en uniek omdat ze malwaregebruik hebben dat ook dit idee weerspiegelt. It Workers is echter een overkoepelende term en er zijn veel stijlen, variëteiten en vaardigheidsniveaus onder hen.”
Wat betreft hoe het IT -werknemersschema de komende jaren zou kunnen evolueren, wijst Barnhart naar de traditionele financiële sector als doelwit.
“Met de implementatie van blockchain- en Web3 -technologieën in traditionele financiële instellingen, denk ik dat alle DVK -cyberactiva in die ruimte tot doel hebben deze bedrijven te runnen zoals het in de afgelopen jaren gebeurde,” merkte Barnhart op. “Hoe meer we integreren met die technologieën, hoe voorzichtiger we moeten zijn omdat DVK zeer diepgeworteld is.”
