Специалист по расследованию цепочек ZachXBT обнаружил обширное проникновение Северной Кореи в криптовалютные и технологические компании через фиктивные схемы трудоустройства.
В ходе расследования было отслежено 16,58 миллионов долларов США, выплаченных ИТ-работникам из КНДР, и выявлено множество операционных кластеров в различных проектах.
ZachXBT раскрывает информацию о выплатах северокорейским разработчикам в размере $16,58 млн.
Расследование ZachXBT обнаружило $16,58 млн. выплат северокорейским ИТ-работникам с 1 января 2025 г., в среднем $2,76 млн. в месяц через криптовалютные транзакции.
Суммы выплат варьируются от $3 000 до $8 000 в месяц на одного работника, что свидетельствует о проникновении от 345 рабочих мест на низком уровне до 920 рабочих мест на высоком уровне.
Ищейка на цепи следит за шестью различными кластерами ИТ-работников из КНДР. Только в один кластер входят 8 различных северокорейских разработчиков, которые получили роли в более чем 12 проектах.
Платежные адреса из этого кластера восходят к двум адресам консолидации, используемым для сбора и распределения средств.
Сэнди Нгуен, идентифицированный как ИТ-работник из КНДР из этого кластера, был замечен через разведку из открытых источников рядом с флагом Северной Кореи на мероприятии в России.
ZachXBT отметил, что традиционные технологические компании сталкиваются с не менее серьезными проблемами проникновения. Но криптовалютные платежи создают возможность отслеживания на цепочке, что позволяет отследить потоки средств до компаний-нанимателей.
Расследование выявило систематическую эксплуатацию возможностей удаленной работы в различных отраслях.
Ежемесячные объемы платежей свидетельствуют о постоянных операциях, а не об отдельных инцидентах. Это говорит об организованной координации действий северокорейских ИТ-специалистов, нацеленных на западные технологические компании.
Оперативные индикаторы раскрывают методы систематического проникновения
ZachXBT выявил множество “красных флажков”, которые команды обнаружили после найма северокорейских ИТ-работников. Это позволило выявить последовательные схемы работы во всех проникших проектах.
Работники отказывались от личных встреч с членами команды, несмотря на то, что жили в одном городе.
Три ИТ-работника из одного кластера направили друг друга на работу в один и тот же проект. Это указывает на скоординированные усилия по проникновению, а не на независимые заявления о приеме на работу.
Сотрудники, якобы находящиеся в Калифорнии, использовали российские IP-адреса во время рабочих сессий, что отличалось от их предполагаемого местонахождения и нарушало безопасность.
К другим подозрительным действиям относятся изменения в хэндлах GitHub, удаление учетных записей LinkedIn и неудачная периодическая проверка KYC многих сотрудников.
Потоки платежей нескольким сотрудникам ИТ-отдела направлялись на один криптовалютный адрес. Это указывает на скоординированную финансовую деятельность за якобы независимыми подрядчиками.
Платежи USDC переводились напрямую со счетов Circle на три адреса в наблюдаемом кластере. Средства перемещались только в один прыжок с адреса, занесенного в черный список Tether в апреле 2023 года и принадлежащего Хёну Соп Симу.
Другие кластеры ИТ-работников из КНДР в настоящее время имеют значительные остатки на счетах USDC по нескольким адресам.
Работники обычно выполняют несколько функций одновременно и, как правило, увольняются за плохую работу, что приводит к высокой текучести кадров.
Как только они узнают, как проникнуть в команды и претендовать на право владения контрактами, проекты становятся уязвимыми для атак безопасности и потенциальных эксплойтов против протокольной инфраструктуры.
Угроза перекинулась на криптовалюты, ограбив их на 2,1 миллиарда долларов
ZachXBT также заметил, что у северокорейских ИТ-работников сейчас все больше и больше американских биржевых счетов, таких как Coinbase и Robinhood, опровергая предположение о том, что на внутренних биржах более строгие условия KYC/AML, чем на внешних.
MEXC по-прежнему активно используется ИТ-персоналом для отмывания денег в цепочке криптовалютных сделок.
Использование Binance ИТ-персоналом резко сократилось по сравнению с предыдущими годами благодаря улучшению схем обнаружения и сотрудничеству между частными учреждениями и государственными органами, приводящему к конфискации активов.
Появление необанков и финтех-платформ, поддерживающих интеграцию со стейблкоинами, упростило для ИТ-персонала КНДР конвертацию фиатных денег в криптовалюту.
ZachXBT также утверждает, что в криптовалютных проектах работает не самое большое количество северокорейского ИТ-персонала, а более традиционные технологические компании имеют не менее или даже более серьезные проблемы с проникновением.
Криптовалютные платежи отслеживаются на цепочке, что позволяет следователям отследить возврат денег в рекрутинговые фирмы, но фиатные платежи в обычных фирмах не имеют такой видимости.
Связанные с Северной Кореей хакерские группы, такие как Lazarus Group, украли около $2,1 миллиарда в криптовалюте в первой половине 2025 года.
Самым крупным случаем стало ограбление криптовалютной биржи Bybit в феврале 2025 года на сумму $1,5 млрд. Из общего числа криптокраж $1,6 млрд. было совершено злоумышленниками, связанными с Северной Кореей.
Автор считает, что группы, в которых работает много ИТ-персонала из КНДР, всегда указывают на провал стартапа из-за отсутствия изощренности угроз и недостаточного внимания к подбору персонала.
