Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha dichiarato di aver presentato una denuncia di decadenza civile presso il tribunale federale che si rivolge a oltre 7,74 milioni di dollari in criptovaluta, token non fissibili (NFT) e altre attività digitali presumibilmente legate a un Schema globale dei lavoratori IT Orchestrato dalla Corea del Nord.
“Per anni, la Corea del Nord ha sfruttato gli ecosistemi globali di contratti IT e criptovaluta per eludere le sanzioni statunitensi e bancarlare i suoi programmi di armi”, disse Sue J. Bai, capo della divisione di sicurezza nazionale del Dipartimento di Giustizia.
Il Dipartimento di Giustizia ha detto che i fondi erano Originariamente trattenuto In relazione a un’accusa di aprile 2023 contro Sim Hyon-Sop, un rappresentante della Banca estera del Nord Corea (FTB) che si ritiene abbia cospirato con i lavoratori IT.
I lavoratori IT, hanno aggiunto il dipartimento, hanno guadagnato lavoro presso le compagnie di criptovaluta statunitense che utilizzano identità false e quindi hanno riciclato i loro guadagni malvagi attraverso SIM per ulteriori obiettivi strategici di Pyongyang in violazione delle sanzioni imposte dall’ufficio del Tesoro degli Stati Uniti al controllo delle attività straniere (OFAC) e delle Nazioni Unite.
Lo schema fraudolento ha evoluto in a massiccia operazione Dalla sua origine nel 2017. L’operazione di lavoro illegale sfrutta una combinazione di identità rubate e fittizie, aiutata con l’aiuto di strumenti di intelligenza artificiale (AI) come Openai Chatgptper bypassare i controlli di due diligence e garantire lavori freelance.
Tracciato sotto i moniker Wagmole e UNC5267, l’attività viene valutata per essere affiliata al Partito dei lavoratori della Corea ed è vista come una strategia ingegnerizzata metodicamente per incorporare i lavoratori IT all’interno di società legittime per trarre una costante fonte di entrate per la Corea del Nord.
Oltre a travisare identità e luoghi, un aspetto fondamentale dell’operazione prevede il reclutamento di facilitatori per gestire le aziende di laptop computer in tutto il mondo, abilitare le fasi di interviste video e ricoprire i proventi attraverso vari account.
Uno di questi facilitatori della fattoria per laptop computer period Christina Marie Chapmanche si è dichiarato colpevole all’inizio di febbraio per il suo coinvolgimento nel sistema di rigenerazione delle entrate illeciti. In un rapporto pubblicato il mese scorso, The Wall Road Journal rivelato Come un messaggio LinkedIn nel marzo 2020 ha attirato Chapman, ex cameriera e massaggiatore con oltre 100.000 follower su Tiktok, nella truffa complessa. È prevista per essere condannata il 16 luglio.
“Dopo aver riciclato questi fondi, i lavoratori IT della Corea del Nord avrebbero inviato al governo nordcoreano, a volte by way of Sim e Kim Sang Man”, ha detto il DOJ. “Kim è un cittadino nordcoreano che è l’amministratore delegato di” Chinyong “, noto anche come” Jinyong IT Cooperation Firm “.
Un’analisi del portafoglio di criptovaluta di Sim da parte di TRM Labs ha rivelato di aver ricevuto oltre 24 milioni di dollari in criptovaluta dall’agosto 2021 a marzo 2023.
 |
| Valutazione organizzativa della Corea del Nord |
“La maggior parte di questi fondi sono stati fatti risalire ai conti di Kim, che sono stati aperti utilizzando documenti di identità russa forgiati e accessibili da dispositivi in lingua coreana che operano dagli Emirati Arabi Uniti e dalla Russia”, TRM Labs disse. “Sim, un funzionario nordcoreano, ha operato da Dubai e ha mantenuto un portafoglio autosufficiente che ha ricevuto fondi riciclati da dozzine di fonti”.
Kim, dalla sua base a Vladivostok, in Russia, ha agito come un intermediario tra i lavoratori IT e FTB, usando due conti per raccogliere fondi da loro e ridistribuire i proventi a SIM e advert altri portafogli collegati alla Corea del Nord.
La società di sicurezza informatica Dtex ha caratterizzato La minaccia dei lavoratori IT come sindacato criminale sponsorizzato dallo stato che è principalmente orientato verso l’evasione delle sanzioni e la generazione di profitti, con gli attori delle minacce che si spostano gradualmente dalle aziende agricole per l’utilizzo delle proprie macchine come parte delle politiche delle aziende (BYOD).
“L’opportunità è davvero la loro unica tattica e tutto è trattato come uno strumento di qualche tipo”, ha detto all’Hacker Information Michael Barnhart, Principal I3 Insider Insider Investigator di Dtex Programs.
“Se l’attenzione è rivolta alle aziende agricole dei laptop computer, che è stato molto bravo a far uscire quella parola, allora naturalmente questa nazione opportunistica vuole gravitare su dove il percorso è molto più semplice se ha un impatto sulle operazioni. Fino a quando le aziende di laptop computer non sono affatto efficaci, allora sarà ancora un’opzione, ma l’abuso di BYOD period qualcosa che Dtex non period più efficace e non sono più efficaci quanto le aziende agricole non erano più efficaci.”
DTEX ha inoltre sottolineato che questi lavoratori IT potrebbero rientrare in una delle due categorie: i lavoratori IT (R-ITW) o i lavoratori IT dannosi (M-ITW), ognuno dei quali ha la propria funzione all’interno della struttura informatica della Corea del Nord.
Mentre si cube che il personale R-ITW sia meno privilegiato e motivato principalmente a fare soldi per il regime, gli attori di M-ITW vanno oltre la generazione di entrate estorcendo un cliente vittima, sabotando un server di criptovaluta, rubando una proprietà intellettuale preziosa o eseguendo un codice dannoso in un ambiente.
Chinyong, secondo la società di gestione dei rischi per insider, è una delle tante aziende IT che ha distribuito i suoi lavoratori in una combinazione di freelance IT funziona e furto di criptovaluta sfruttando il loro accesso insider a progetti blockchain. Opera di Cina, Laos e Russia.
Due individui associati agli sforzi del lavoratore IT relativi a Chinyong sono stati smascherati come aver usato la persona Naoki Murano e Jenson Collins per raccogliere fondi per la Corea del Nord, con Murano precedentemente collegato a un $ 6 milioni di rapina presso la società di Crypto Deltaprime nel settembre 2024.
“In definitiva, il rilevamento di aziende per laptop computer e schemi di lavoratori remoti legati alla DPRK richiede ai difensori di guardare oltre gli indicatori tradizionali di compromesso e iniziare a porre domande diverse-su infrastrutture, comportamenti e accesso”, il ricercatore della sicurezza Matt Ryan disse. “Queste campagne non riguardano solo malware o phishing; si tratta di inganno su larga scala, spesso eseguiti in modi che si fondono perfettamente con un lavoro remoto legittimo.”
Ulteriori indagini sulla tentacolare frode multimilionaria hanno scoperto diversi conti legati ai domini falsi istituiti per le varie aziende di frontiera utilizzate per fornire riferimenti falsi ai lavoratori IT. Questi account sono stati infettati da malware che spazzano le informazioni, Flashpoint notatopermettendogli di contrassegnare alcuni aspetti del loro marchio.
La società ha dichiarato di aver identificato un host compromesso situato a Lahore, in Pakistan, che conteneva una credenziale salvata per un account di posta elettronica utilizzato come punto di contatto quando si registra i domini associati alle informazioni sulla scatola del bambino, all’elica US e Cubix Tech Us.
Inoltre, la storia del browser catturata dal malware del furto in un’altra istanza ha catturato gli URL di traduzione di Google relativi a dozzine di traduzioni tra inglese e coreano, comprese quelle relative alla fornitura di riferimenti di lavoro falsificati e alla spedizione di dispositivi elettronici.
Non è tutto. Ricerche recenti hanno anche messo a nudo un “sistema di controllo remoto a più livelli” utilizzato dai lavoratori IT della Corea del Nord per stabilire un accesso persistente ai laptop computer emessi dall’azienda in una fattoria per laptop computer mentre si trovava fisicamente in Asia.
“L’operazione ha sfruttato una combinazione di segnalazione di protocollo di basso livello e strumenti di collaborazione legittimi per mantenere l’accesso remoto e abilitare la visibilità e il controllo dei dati utilizzando lo zoom”, Sygnia disse In un rapporto pubblicato nell’aprile 2025. “La catena di attacco (…) ha comportato l’abuso di pacchetti ARP per attivare azioni basate su eventi, un canale di comando e controllo basato su websocket (C2) personalizzato e automazione delle funzionalità di controllo remoto di Zoom.”
“Per migliorare ulteriormente la furtività e l’automazione, sono state necessarie specifiche configurazioni del consumer zoom. Le impostazioni sono state meticolosamente regolate per prevenire gli indicatori rivolti in utente e i disturbi audiovisivi. Gli utenti sono stati seguiti in modo persistente, video e audio sono stati automaticamente disattivati al momento dell’unione, i nomi dei partecipanti sono stati nascosti, condividendo lo schermo avviato senza indicatori visibili e anteprima disabili.”
Eseguire complementari a Wagemole è un’altra campagna denominata Intervista contagiosa (aka ingannevole sviluppo, famoso chollima, gang gwisin, tenace pungsan, unc5342 e void dokkaebi) che conduce principalmente attività dannosa Si rivolge agli sviluppatori di ottenere un accesso non autorizzato dell’azienda invece di ottenere un lavoro.
“La banda di Gwisin francamente sono i lavoratori IT che invece di prendere il lungo processo di domanda per un lavoro, mirano a qualcuno che aveva già il lavoro”, ha detto Barnhart. “Sembrano elevati e unici in quanto hanno un utilizzo di malware che fa eco anche questa nozione. I lavoratori sono un termine generale e ci sono molti stili, varietà e livelli di abilità tra loro.”
Per quanto riguarda il modo in cui lo schema dei lavoratori IT potrebbe evolversi nei prossimi anni, Barnhart indica il tradizionale settore finanziario come obiettivo.
“Con l’implementazione di Blockchain e Web3 Applied sciences nelle istituzioni finanziarie tradizionali, penso che tutte le attività informatiche della RPDC in quello spazio mireranno a correre su queste aziende nel modo in cui stava accadendo negli anni passati”, ha sottolineato Barnhart. “Più ci integriamo con queste tecnologie, più siamo attenti come DPRK è molto radicato.”
