تم القبض على عملاء كوريا الشمالية على الكاميرا، مباشرة، بعد أن استدرجهم باحثو الأمن إلى "كمبيوتر محمول للمطور" مفخخ، مما أدى إلى تصوير كيف حاول الطاقم المرتبط بـ Lazarus الاندماج في خط أنابيب وظائف التشفير الأمريكية باستخدام أدوات توظيف الذكاء الاصطناعي المشروعة وخدمات السحابة.
وقد تم التقاط التطور في الجرائم الإلكترونية التي ترعاها الدولة في الوقت الفعلي من قبل الباحثين في BCA LTD و NorthScan ومنصة تحليل البرامج الضارة ANY.RUN.
القبض على المهاجم الكوري الشمالي
شاركت Hacker News كيف قام الفريق، في عملية لدغة منسقة، بنشر "مصيدة العسل"، وهي بيئة مراقبة متنكرة على أنها كمبيوتر محمول شرعي للمطور، لاستدراج مجموعة Lazarus.
تقدم اللقطات الناتجة للصناعة نظرة أوضح حتى الآن حول كيفية تجاوز الوحدات الكورية الشمالية، وتحديداً قسم Famous Chollima، لجدران الحماية التقليدية من خلال التوظيف ببساطة من قبل قسم الموارد البشرية للهدف.
بدأت العملية عندما أنشأ الباحثون شخصية مطور وقبلوا طلب مقابلة من مجند يُعرف باسم "آرون". بدلاً من نشر حمولة برامج ضارة قياسية، وجه المجند الهدف نحو ترتيب توظيف عن بعد شائع في قطاع Web3.
عندما منح الباحثون حق الوصول إلى "الكمبيوتر المحمول"، الذي كان في الواقع جهازًا افتراضيًا تتم مراقبته بشكل مكثف مصممًا لمحاكاة محطة عمل أمريكية، لم يحاول العملاء استغلال نقاط ضعف الكود.
بدلاً من ذلك، ركزوا على تأسيس وجودهم كموظفين نموذجيين على ما يبدو.
بناء الثقة
بمجرد الدخول إلى البيئة المراقبة، أظهر العملاء سير عمل مُحسّن للاندماج بدلاً من الاختراق.
استخدموا برامج أتمتة الوظائف المشروعة، بما في ذلك Simplify Copilot و AiApply، لإنشاء ردود مقابلة مصقولة وملء نماذج الطلبات على نطاق واسع.
يسلط هذا الاستخدام لأدوات الإنتاجية الغربية الضوء على تصعيد مقلق، مما يظهر أن الجهات الفاعلة في الدولة تستفيد من تقنيات الذكاء الاصطناعي المصممة لتبسيط التوظيف المؤسسي لهزيمتها.
كشف التحقيق أن المهاجمين قاموا بتوجيه حركة المرور الخاصة بهم عبر Astrill VPN لإخفاء موقعهم واستخدموا خدمات تعتمد على المتصفح للتعامل مع رموز المصادقة الثنائية المرتبطة بالهويات المسروقة.
لم تكن اللعبة النهائية هي التدمير الفوري ولكن الوصول على المدى الطويل. قام العملاء بتكوين Google Remote Desktop عبر PowerShell باستخدام رقم تعريف شخصي ثابت، مما يضمن قدرتهم على الحفاظ على التحكم في الجهاز حتى إذا حاول المضيف إلغاء الامتيازات.
لذلك، كانت أوامرهم إدارية، وتشغيل تشخيصات النظام للتحقق من صحة الأجهزة.
في الأساس، لم يكونوا يحاولون اختراق محفظة على الفور.
بدلاً من ذلك، سعى الكوريون الشماليون إلى تأسيس أنفسهم كمطلعين موثوق بهم، مما يضعهم للوصول إلى المستودعات الداخلية ولوحات معلومات السحابة.
تدفق إيرادات بمليارات الدولارات
هذه الحادثة هي جزء من مجمع صناعي أكبر حول الاحتيال في التوظيف إلى محرك إيرادات أساسي للنظام الخاضع للعقوبات.
قدر فريق مراقبة العقوبات متعددة الأطراف مؤخرًا أن المجموعات المرتبطة ببيونغ يانغ سرقت ما يقرب من 2.83 مليار دولار في الأصول الرقمية بين عامي 2024 وسبتمبر 2025.
يشير هذا الرقم، الذي يمثل ما يقرب من ثلث دخل كوريا الشمالية من العملات الأجنبية، إلى أن السرقة الإلكترونية أصبحت استراتيجية اقتصادية سيادية.
تم إثبات فعالية متجه هجوم "الطبقة البشرية" هذا بشكل مدمر في فبراير 2025 أثناء اختراق بورصة Bybit.
في تلك الحادثة، استخدم المهاجمون المنسوبون إلى مجموعة TraderTraitor بيانات اعتماد داخلية مخترقة لإخفاء التحويلات الخارجية كحركات أصول داخلية، مما أدى في النهاية إلى السيطرة على العقد الذكي للمحفظة الباردة.
أزمة الامتثال
يخلق التحول نحو الهندسة الاجتماعية أزمة مسؤولية شديدة لصناعة الأصول الرقمية.
في وقت سابق من هذا العام، وثقت شركات الأمن مثل Huntress و Silent Push شبكات من الشركات الواجهة، بما في ذلك BlockNovas و SoftGlide، التي تمتلك تسجيلات شركات أمريكية صالحة وملفات تعريف LinkedIn موثوقة.
تنجح هذه الكيانات في حث المطورين على تثبيت نصوص برمجية ضارة تحت ستار التقييمات الفنية.
بالنسبة لمسؤولي الامتثال ومديري أمن المعلومات، فقد تحول التحدي. تركز بروتوكولات اعرف عميلك (KYC) التقليدية على العميل، لكن سير عمل Lazarus يتطلب معيارًا صارمًا لـ "اعرف موظفك".
بدأت وزارة العدل بالفعل في التصدي، حيث صادرت 7.74 مليون دولار مرتبطة بهذه المخططات التقنية، لكن تأخير الكشف لا يزال مرتفعًا.
كما توضح عملية BCA LTD، قد تكون الطريقة الوحيدة للقبض على هؤلاء الممثلين هي التحول من الدفاع السلبي إلى الخداع النشط، وإنشاء بيئات خاضعة للرقابة تجبر الجهات الفاعلة المهددة على الكشف عن حرفتهم قبل تسليمهم مفاتيح الخزانة.
المصدر: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
