Северокорейские оперативники были пойманы на камеру в прямом эфире после того, как исследователи безопасности заманили их в ловушку "ноутбука разработчика", запечатлев, как связанная с Lazarus группа пыталась внедриться в американскую систему найма в крипто-сфере, используя легитимные инструменты ИИ для найма и облачные сервисы.
Эволюция в государственной киберпреступности была зафиксирована в реальном времени исследователями из BCA LTD, NorthScan и платформы анализа вредоносного ПО ANY.RUN.
Поимка северокорейского хакера
Hacker News рассказал, как в ходе скоординированной операции команда развернула "приманку", которая представляет собой среду наблюдения, замаскированную под легитимный ноутбук разработчика, чтобы заманить группу Lazarus.
Полученные кадры дают отрасли наиболее четкое представление о том, как северокорейские подразделения, в частности подразделение Famous Chollima, обходят традиционные брандмауэры, просто устраиваясь на работу через отдел кадров цели.
Операция началась, когда исследователи создали образ разработчика и приняли запрос на собеседование от рекрутера под псевдонимом "Аарон". Вместо развертывания стандартной вредоносной нагрузки, рекрутер направил цель на удаленную работу, распространенную в секторе Web3.
Когда исследователи предоставили доступ к "ноутбуку", который на самом деле был тщательно контролируемой виртуальной машиной, имитирующей рабочую станцию в США, оперативники не пытались использовать уязвимости кода.
Вместо этого они сосредоточились на установлении своего присутствия в качестве образцовых сотрудников.
Построение доверия
Оказавшись в контролируемой среде, оперативники продемонстрировали рабочий процесс, оптимизированный для слияния с окружением, а не для взлома.
Они использовали легитимное программное обеспечение для автоматизации работы, включая Simplify Copilot и AiApply, для создания отшлифованных ответов на собеседованиях и заполнения форм заявок в больших масштабах.
Это использование западных инструментов производительности подчеркивает тревожную эскалацию, показывая, что государственные субъекты используют те самые технологии ИИ, разработанные для оптимизации корпоративного найма, чтобы победить их.
Расследование показало, что атакующие направляли свой трафик через Astrill VPN, чтобы скрыть свое местоположение, и использовали браузерные сервисы для обработки кодов двухфакторной аутентификации, связанных с украденными личностями.
Конечной целью было не немедленное разрушение, а долгосрочный доступ. Оперативники настроили Google Remote Desktop через PowerShell с фиксированным PIN-кодом, обеспечивая контроль над машиной, даже если хост попытается отозвать привилегии.
Таким образом, их команды были административными, запускающими системную диагностику для проверки оборудования.
По сути, они не пытались немедленно взломать кошелек.
Вместо этого северокорейцы стремились утвердиться в качестве доверенных инсайдеров, позиционируя себя для доступа к внутренним репозиториям и облачным панелям управления.
Миллиардный поток доходов
Этот инцидент является частью более крупного промышленного комплекса, который превратил мошенничество с трудоустройством в основной источник дохода для санкционированного режима.
Многосторонняя группа мониторинга санкций недавно оценила, что связанные с Пхеньяном группы украли примерно 2,83 миллиарда $ в цифровых активах между 2024 и сентябрем 2025 года.
Эта цифра, которая составляет примерно треть дохода Северной Кореи в иностранной валюте, предполагает, что кибер-кража стала суверенной экономической стратегией.
Эффективность этого вектора атаки "человеческого слоя" была разрушительно доказана в феврале 2025 года во время взлома биржи Bybit.
В этом инциденте атакующие, приписываемые группе TraderTraitor, использовали скомпрометированные внутренние учетные данные для маскировки внешних переводов под внутренние движения активов, в конечном итоге получив контроль над смарт-контрактом холодного кошелька.
Кризис соответствия
Сдвиг в сторону социальной инженерии создает серьезный кризис ответственности для индустрии цифровых активов.
Ранее в этом году компании по безопасности, такие как Huntress и Silent Push, задокументировали сети подставных компаний, включая BlockNovas и SoftGlide, которые имеют действительные корпоративные регистрации в США и достоверные профили LinkedIn.
Эти организации успешно побуждают разработчиков устанавливать вредоносные скрипты под видом технических оценок.
Для сотрудников по соблюдению нормативных требований и руководителей отделов информационной безопасности проблема мутировала. Традиционные протоколы Подтверждения личности (KYC) фокусируются на клиенте, но рабочий процесс Lazarus требует строгого стандарта "Знай своего сотрудника".
Министерство юстиции уже начало принимать меры, изъяв 7,74 миллиона $, связанных с этими ИТ-схемами, но задержка обнаружения остается высокой.
Как показывает операция BCA LTD, единственный способ поймать этих субъектов может заключаться в переходе от пассивной защиты к активному обману, создавая контролируемые среды, которые заставляют угрожающих субъектов раскрывать свои методы до того, как им будут переданы ключи от казны.
Источник: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
