Граждане Северной Кореи, работающие в сфере информационных технологий (ИТ), активно используют поддельные аккаунты реальных пользователей LinkedIn для подачи заявок на удалённые рабочие места, стремясь закрепиться в западных компаниях и других организациях. Эта схема является частью масштабной операции, осуществляемой северокорейскими властями, в рамках которой специалисты подделывают личные данные или крадут чужие идентификационные данные, представляясь дистанционными сотрудниками.
Такие фальшивые профили часто имеют проверенные корпоративные электронные адреса и удостоверения личности, рассчитывая на доверие работодателей и сокрытие истинных намерений злоумышленников. Эти мошеннические схемы получили известность среди специалистов по кибербезопасности под кодовыми названиями Jasper Sleet, PurpleDelta и Wagemole.
Главная цель подобной активности двоякая: получение стабильного дохода для финансирования оружейных программ КНДР, проведение разведывательных операций путём кражи конфиденциальных данных и иногда требование выкупа за предотвращение утечки похищенной информации.
Недавно компания Silent Push назвала данную схему высокоэффективным механизмом зарабатывания денег для режима КНДР, обеспечивающим доступ к административным ресурсам компаний и длительное присутствие внутри корпоративных инфраструктур. Специалисты отмечают, что полученные зарплаты северокорейские ИТ-специалисты переправляют через криптовалюты различными способами отмывания денежных средств.
Исследовательская фирма Chainalysis сообщила, что одним из способов маскировки движения средств является переключение криптовалютных сетей ("цепочечный прыжок") и обмен токенов, что затрудняет отслеживание транзакций. Они также применяют смарт-контракты децентрализованных бирж и мостовых протоколов для усложнения идентификации финансовых потоков.
Для защиты от угроз пользователям рекомендуется размещать предупреждения на социальных сетях и указывать официальные способы связи, подтверждающие подлинность своей личности. Пользователи также советуют проверить наличие контроля над указанными кандидатами контактами на платформе LinkedIn.
Сообщается, что норвежская полиция зафиксировала случаи попадания местных предприятий в ловушку схем найма подставных сотрудников из КНДР на удалённую работу. Получаемые ими доходы используются для финансирования военных и ядерных программ государства.
Параллельно данным действиям действует кампания социальной инженерии под названием Contagious Interview, использующая фейковые процессы подбора персонала для заманивания кандидатов на собеседования после приглашения на LinkedIn. Цель состоит в том, чтобы заставить жертв устанавливать вредоносное ПО под видом оценки профессиональных навыков.
Одним из примеров была рекрутинговая кампания, направленная против работников технологической сферы, имитирующая процесс трудоустройства цифровой инфраструктуры компании Fireblocks. Жертвам предлагалось клонировать репозиторий GitHub и запускать команды установки пакетов npm, что приводило к выполнению вредоносного программного обеспечения.
Другими методами были внедрение загрузчиков атакующих инструментов через злонамеренные файлы проектов Visual Studio Code и использование пакета npm для распространения фреймворка JavaScript-трояна Koalemos. Этот троян способен загружать задания с внешнего сервера, исполнять их, отправлять зашифрованные ответы и возвращаться в спящий режим перед повторением цикла.
Эти кампании демонстрируют высокую степень специализации действий группировок северокорейского происхождения, нацеленных на финансовые преступления и кибершпионаж.
Кроме того, группа хакеров Labyrinth Chollima теперь представлена тремя подразделениями с разными целями и тактиками: основное подразделение Labyrinth Chollima, Gold Chollima (AppleJeus, Citrine Sleet, UNC4736) и Pressure Chollima (Jade Sleet, TraderTraitor, UNC4899). Несмотря на различия, они продолжают пользоваться общими инструментами и ресурсами, демонстрируя централизованную координацию и распределение ресурсов внутри структуры северокорейских кибервойск.
Gold Chollima специализируется на мелких хищениях криптовалюты в экономически развитых регионах, тогда как Pressure Chollima занимается крупными ограблениями с использованием продвинутого вредоносного ПО для проникновения в организации с большими цифровыми активами. Основной целью же Labyrinth Chollima остаётся киберразведка, использующая инструменты типа FudModule rootkit для скрытого внедрения в системы.
Использование схожих методов и общих элементов инфраструктуры показывает тесную взаимосвязь между этими группами, несмотря на кажущуюся независимость друг от друга.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Иранская хакерская группа Infy, известная также как Prince of Persia, возобновила свою кибероперацию, активировав новую инфраструктуру командования и управления (C2), сразу после окончания масштабного интернет-отключения в стране.
В период конца 2025 – начала 2 Newton 2026 года исследователи кибербезопасности зафиксировали новую кампанию злоумышленников, приписываемую китайской хакерской группировке UAT‑8099. Цель атаки — уязвимые серверы Internet Information Services (IIS) в азиатском регионе, особенно в Таиланде и Вьетнаме.
Исследователи в области кибербезопасности обнародовали детали принципиально новой методики атаки — Reprompt. Она позволяет злоумышленникам извлекать конфиденциальные данные из ИИ‑чат‑ботов (в частности, из Microsoft Copilot) буквально в один клик, полностью обходя корпоративные системы защиты.