Исследователь блокчейна ZachXBT утверждает, что обнаружил доказательства существования сложной сети северокорейских разработчиков, которые зарабатывают до $500 000 в месяц, работая над «устоявшимися» криптопроектами.
В посте от 15 августа на X ZachXBT сообщил своим 618 000 подписчикам, что, по его мнению, «единая организация в Азии», вероятно, работающая из Северной Кореи, получает от $300 000 до $500 000 в месяц, нанимая не менее 21 работника на более чем 25 криптопроектов.
Исследователь блокчейна ZachXBT утверждает, что обнаружил, что 21 северокореец, использующий поддельные удостоверения, работает над десятками криптопроектов. Источник: ZachXBT.
«Недавно одна команда обратилась ко мне за помощью после того, как из казны было украдено 1,3 млн долларов после внедрения вредоносного кода», — сказал ZachXBT.
«Они по незнанию наняли нескольких ИТ-специалистов из КНДР в качестве разработчиков, которые использовали поддельные удостоверения личности».
ZachXBT утверждает, что последние 1,3 млн долларов, украденные работниками КНДР, были отмыты с помощью последовательности транзакций, включая перевод на адрес кражи и перевод 16,5 ETH на две разные биржи.
После дальнейшего расследования этих разработчиков ZachXBT пришел к выводу, что они являются частью гораздо более обширной сети.
Отслеживая несколько платежных адресов, он обнаружил кластер разработчиков, получивших «375 000 долларов за последний месяц», и предыдущие транзакции на общую сумму 5,5 млн долларов, которые поступили на адрес депозита обмена с июля 2023 года по некоторое время в 2024 году.
Эти платежи затем были связаны с ИТ-работниками в Северной Корее и человеком Сим Хён Соп, который был подвергнут санкциям со стороны Управления по контролю за иностранными активами (OFAC) за предполагаемую координацию финансовых переводов, которые в конечном итоге оказались поддержкой программ вооружения Северной Кореи.
Кластер разработчиков, которых ZachXBT считает северокорейцами, использующими поддельные удостоверения личности, получил 375 000 долларов за последний месяц. Источник: ZachXBT
ZachXBT сообщает, что его расследование выявило, что другие платежные адреса были тесно связаны с другим лицом, находящимся под санкциями OFAC, Сан Ман Кимом, который в прошлом имел отношение к киберпреступности, связанной с КНДР.
Правоохранительные органы США полагают, что Ким «участвует в выплате зарплат членам семей зарубежных рабочих делегаций КНДР Чиньонга» и получает 2 миллиона долларов в криптовалюте за продажу ИТ-оборудования связанным с КНДР командам в Китае и России.
ZachXBT также обнаружил случаи совпадения IP-адресов российских телекоммуникационных компаний среди разработчиков, которые утверждали, что находятся в США и Малайзии. По крайней мере один из работников «случайно слил свои другие данные в блокноте».
Некоторые из найденных им разработчиков даже были трудоустроены кадровыми агентствами и в некоторых случаях рекомендовали друг друга для работы.
«Этих разработчиков нанимали несколько опытных команд, поэтому несправедливо обвинять их в одиночку», — сказал ZachXBT.
«Вскоре после публикации очередного проекта выяснилось, что они наняли одного из ИТ-работников КНДР (Наоки Мурано), указанного в моей таблице, и поделились моим постом в своем чате. Сразу же, через две минуты, Наоки покинул чат и стер свой GitHub».
Организации, связанные с Корейской Народно-Демократической Республикой (КНДР), как полагают, стоят за несколькими крупнейшими кибератаками и другими мошенничествами за эти годы. Их методы киберпреступности обычно включают фишинг, использование уязвимостей программного обеспечения, кибервторжения, использование закрытых ключей и личное проникновение. Предполагается, что некоторые также работают на этих должностях, чтобы получать зарплату, которая затем отправляется обратно в страну.
В 2022 году Министерство юстиции, Государственный департамент и Министерство финансов США выпустили совместное предупреждение о притоке северокорейских работников на различные внештатные технические должности, особенно в сфере криптовалют.
Пожалуй, самая печально известная группа, связанная с королевством отшельников, Lazarus Group, как сообщается, украла более 3 миллиардов долларов в криптовалютных активах за шесть лет до 2024 года.