Таємні кадри з підлаштованого ноутбука викривають, як північнокорейські шпигуни обходять вашу службу безпеки

Північнокорейських оперативників зняли на камеру в реальному часі після того, як дослідники з безпеки заманили їх у пастку — «розробницький ноутбук», за допомогою якого вдалося зафіксувати, як пов’язана з Lazarus група намагалася злитися з американським ринком вакансій у сфері криптовалют, використовуючи легітимні інструменти для найму на основі AI та хмарні сервіси.

Як повідомляється, еволюцію спонсорованої державою кіберзлочинності було зафіксовано в реальному часі дослідниками з BCA LTD, NorthScan і платформи для аналізу шкідливого ПЗ ANY.RUN.

Викриття північнокорейського атакуючого

Hacker News поділилися, як у скоординованій операції команда розгорнула «honeypot» — середовище спостереження, замасковане під легітимний ноутбук розробника, щоб заманити групу Lazarus.

Отримані відеоматеріали дають галузі найчіткіше уявлення про те, як північнокорейські підрозділи, зокрема Famous Chollima, обходять традиційні фаєрволи, просто влаштовуючись на роботу через відділ кадрів цільової компанії.

Операція почалася з того, що дослідники створили образ розробника і прийняли запит на співбесіду від рекрутера під псевдонімом «Aaron». Замість стандартного шкідливого ПЗ рекрутер запропонував цільовому співробітнику віддалену форму зайнятості, поширену у секторі Web3.

Коли дослідники надали доступ до «ноутбука», який насправді був ретельно контрольованою віртуальною машиною, що імітувала робочу станцію у США, оперативники не намагалися експлуатувати вразливості коду.

Замість цього вони зосередилися на тому, щоб виглядати зразковими співробітниками.

Вибудовування довіри

Потрапивши у контрольоване середовище, оперативники продемонстрували робочий процес, оптимізований для того, щоб злитися з колективом, а не зламати систему.

Вони використовували легітимне програмне забезпечення для автоматизації роботи, зокрема Simplify Copilot та AiApply, щоб генерувати відшліфовані відповіді на співбесідах і масово заповнювати форми заявок.

Таке використання західних інструментів продуктивності підкреслює тривожну ескалацію: державні актори використовують ті самі AI-технології, які створені для оптимізації корпоративного найму, щоб обійти ці процеси.

Розслідування показало, що атакуючі спрямовували свій трафік через Astrill VPN, щоб приховати своє місцезнаходження, і використовували браузерні сервіси для обробки кодів двофакторної аутентифікації, пов’язаних із викраденими особистостями.

Кінцева мета — не миттєве знищення, а довгостроковий доступ. Оперативники налаштували Google Remote Desktop через PowerShell із фіксованим PIN-кодом, щоб зберігати контроль над машиною навіть у разі спроби власника відкликати привілеї.

Отже, їхні команди були адміністративними, вони запускали діагностику системи для перевірки апаратного забезпечення.

Фактично, вони не намагалися одразу зламати криптогаманець.

Замість цього північнокорейці прагнули стати довіреними інсайдерами, щоб отримати доступ до внутрішніх репозиторіїв і хмарних панелей керування.

Джерело доходу на мільярди доларів

Цей інцидент є частиною більшої індустріальної схеми, яка перетворила шахрайство з працевлаштуванням на основне джерело доходу для підсанкційного режиму.

Мультистороння група моніторингу санкцій нещодавно оцінила, що групи, пов’язані з Пхеньяном, викрали приблизно $2.83 billions у цифрових активах між 2024 і вереснем 2025 року.

Ця сума, яка становить близько третини валютних надходжень Північної Кореї, свідчить про те, що кібершахрайство стало державною економічною стратегією.

Ефективність цього «людського» вектору атаки була руйнівно доведена у лютому 2025 року під час зламу біржі Bybit.

У тому інциденті атакуючі, яких пов’язують із групою TraderTraitor, використали скомпрометовані внутрішні облікові дані, щоб замаскувати зовнішні перекази під внутрішні переміщення активів, зрештою отримавши контроль над смарт-контрактом холодного гаманця.

Кризис комплаєнсу

Перехід до соціальної інженерії створює серйозну кризу відповідальності для індустрії цифрових активів.

На початку цього року такі компанії з безпеки, як Huntress і Silent Push, задокументували мережі підставних компаній, включаючи BlockNovas і SoftGlide, які мають дійсну реєстрацію у США та переконливі профілі у LinkedIn.

Ці організації успішно змушують розробників встановлювати шкідливі скрипти під виглядом технічних оцінок.

Для співробітників з комплаєнсу та Chief Information Security Officers завдання ускладнилося. Традиційні протоколи Know Your Customer (KYC) зосереджені на клієнті, але робочий процес Lazarus вимагає суворого стандарту «Know Your Employee».

Міністерство юстиції вже почало вживати заходів, конфіскувавши $7.74 millions, пов’язаних із цими IT-схемами, але затримка у виявленні залишається значною.

Як показує операція BCA LTD, єдиний спосіб спіймати цих акторів — перейти від пасивного захисту до активного обману, створюючи контрольовані середовища, які змушують зловмисників розкривати свої методи до того, як їм буде надано доступ до скарбниці.

Публікація Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team вперше з’явилася на CryptoSlate.