Північнокорейські оперативники були зняті на камеру в прямому ефірі після того, як дослідники з безпеки заманили їх у "ноутбук розробника" з пасткою, зафіксувавши, як пов'язана з Lazarus група намагалася влитися в американський конвеєр криптовалютних вакансій, використовуючи легітимні інструменти ШІ для найму та хмарні сервіси.
Еволюцію в державному кіберзлочинстві, як повідомляється, зафіксували в режимі реального часу дослідники з BCA LTD, NorthScan та платформи аналізу шкідливого програмного забезпечення ANY.RUN.
Спіймання північнокорейського хакера
Hacker News поділилися інформацією про те, як під час координованої операції команда розгорнула "приманку", яка є середовищем спостереження, замаскованим під легітимний ноутбук розробника, щоб заманити групу Lazarus.
Отримані кадри дають галузі найчіткіше уявлення про те, як північнокорейські підрозділи, зокрема відділ Famous Chollima, обходять традиційні брандмауери, просто влаштовуючись на роботу через відділ кадрів цільової компанії.
Операція почалася, коли дослідники створили особу розробника і прийняли запит на співбесіду від рекрутера під псевдонімом "Аарон". Замість розгортання стандартного шкідливого навантаження, рекрутер спрямував ціль на віддалене працевлаштування, поширене в секторі Web3.
Коли дослідники надали доступ до "ноутбука", який насправді був віртуальною машиною під пильним наглядом, розробленою для імітації робочої станції в США, оперативники не намагалися використати вразливості коду.
Натомість вони зосередилися на встановленні своєї присутності як зразкових співробітників.
Побудова довіри
Опинившись у контрольованому середовищі, оперативники продемонстрували робочий процес, оптимізований для злиття з оточенням, а не для зламу.
Вони використовували легітимне програмне забезпечення для автоматизації роботи, включаючи Simplify Copilot та AiApply, щоб генерувати відшліфовані відповіді на співбесіді та масово заповнювати форми заявок.
Це використання західних інструментів продуктивності підкреслює тривожну ескалацію, показуючи, що державні актори використовують саме ті технології ШІ, які розроблені для оптимізації корпоративного найму, щоб перемогти їх.
Розслідування виявило, що нападники спрямовували свій трафік через Astrill VPN, щоб приховати своє місцезнаходження, і використовували браузерні сервіси для обробки кодів двофакторної аутентифікації, пов'язаних із викраденими особистостями.
Кінцевою метою було не негайне руйнування, а довгостроковий доступ. Оперативники налаштували Google Remote Desktop через PowerShell з фіксованим PIN-кодом, забезпечуючи можливість зберігати контроль над машиною, навіть якщо хост спробує відкликати привілеї.
Отже, їхні команди були адміністративними, запускаючи системну діагностику для перевірки обладнання.
По суті, вони не намагалися зламати гаманець негайно.
Натомість північнокорейці прагнули встановити себе як довірених інсайдерів, позиціонуючи себе для доступу до внутрішніх репозиторіїв та хмарних панелей управління.
Мільярдний потік доходів
Цей інцидент є частиною більшого промислового комплексу, який перетворив шахрайство з працевлаштуванням на основне джерело доходу для санкціонованого режиму.
Команда моніторингу багатосторонніх санкцій нещодавно підрахувала, що пов'язані з Пхеньяном групи вкрали приблизно 2,83 мільярда доларів у цифрових активах між 2024 роком і вереснем 2025 року.
Ця цифра, яка становить приблизно третину доходу Північної Кореї в іноземній валюті, свідчить про те, що кіберкрадіжка стала суверенною економічною стратегією.
Ефективність цього вектора атаки "людського шару" була руйнівно доведена в лютому 2025 року під час зламу біржі Bybit.
У цьому інциденті нападники, приписувані групі TraderTraitor, використовували скомпрометовані внутрішні облікові дані для маскування зовнішніх переказів як внутрішніх рухів активів, зрештою отримавши контроль над смартконтрактом холодного гаманця.
Криза відповідності
Зміщення в бік соціальної інженерії створює серйозну кризу відповідальності для індустрії цифрових активів.
Раніше цього року компанії з безпеки, такі як Huntress та Silent Push, задокументували мережі підставних компаній, включаючи BlockNovas та SoftGlide, які мають дійсні корпоративні реєстрації в США та надійні профілі LinkedIn.
Ці організації успішно спонукають розробників встановлювати шкідливі скрипти під виглядом технічних оцінок.
Для співробітників з питань відповідності та керівників з інформаційної безпеки виклик мутував. Традиційні протоколи Знай свого клієнта (KYC) зосереджені на клієнті, але робочий процес Lazarus вимагає суворого стандарту "Знай свого співробітника".
Міністерство юстиції вже почало боротьбу, вилучивши 7,74 мільйона доларів, пов'язаних з цими ІТ-схемами, але затримка виявлення залишається високою.
Як демонструє операція BCA LTD, єдиний спосіб спіймати цих акторів може полягати в переході від пасивного захисту до активного обману, створюючи контрольовані середовища, які змушують загрозливих акторів розкривати свої методи роботи до того, як їм передадуть ключі до скарбниці.
Джерело: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
