Фейковые айтишники заменяют реальных специалистов и получают доступ к деньгам и коду

На первый взгляд, всё выглядело идеально: резюме, технические навыки, уверенное прохождение тестового задания. Но когда предприниматель из Великобритании Симон Вийкманс вышел на видеосвязь с кандидатом по имени Томас, тот оказался молодым человеком азиатской внешности с сильным акцентом и подозрительно плохим интернетом. За Томасом слышались шумы, как будто он находился в общежитии или колл-центре. На вопросы о работе он отвечал уверенно, но больше всего интересовался зарплатой. Слишком много совпадений — и слишком мало интереса к самой работе.

Позже другой кандидат, с такими же странностями, выдал себя с ещё большей очевидностью: в отражении его очков Вийкманс заметил чат и сразу заподозрил использование сторонних подсказок. Анализ заявок подтвердил тревожные подозрения. Его объявления на позицию full-stack-разработчика заполонили сотни кандидатов с похожими профилями, многие из которых использовали VPN. Как выяснилось позже, он столкнулся не с неудачным подбором кадров, а с частью масштабной схемы по внедрению северокорейских айтишников в западные компании.

Схема, стоящая за этим, поражает размахом и цинизмом. КНДР вот уже несколько лет организованно готовит команды IT-специалистов, часто размещая их в других странах. Специалисты ищут удалённую работу в США, Европе и Японии, подделывая биографии, используя украденные или вымышленные личности и даже применяя ИИ, чтобы успешно проходить собеседования и тесты. В случае успеха фальшивому сотруднику требуется «представитель» на территории той страны, откуда он якобы работает — именно такую роль играла американка Кристина Чапман.

Чапман, ранее жившая в трейлере в Миннесоте, к 2022 году смогла позволить себе переезд в четырёхкомнатный дом в Аризоне. Она стала ключевым звеном в цепочке: оформляла поддельные документы, получала зарплаты, переводила средства за границу, а главное — управляла так называемой «фермой ноутбуков». Каждый фейковый сотрудник заказывал доставку корпоративного ноутбука на её адрес, где она устанавливала программное обеспечение для удалённого доступа. Таким образом, реальный оператор мог работать из Пхеньяна или Шэньчжэня, а в системе отображаться как сотрудник из Огайо.

На её видео в TikTok и YouTube мелькали стойки с десятками ноутбуков, исписанных стикерами с именами и названиями компаний. Именно так спецслужбы США вышли на след схемы, в которой было задействовано более 300 компаний, включая телекоммуникационные гиганты, автопроизводителей, IT-корпорации и оборонные предприятия. Через руки Чапман прошло более 17 миллионов долларов, большая часть которых, по данным обвинения, ушла в Северную Корею.

И подобных случаев всё больше. В Теннесси вскоре начнётся суд над 38-летним Мэтью Кнутом , обвинённым в организации аналогичной схемы. В Польше арестовали Александра Диденко, создавшего платформу для найма фальшивых IT-работников. А в январе 2025 года прокуратура Флориды выдвинула обвинения против двух американцев и их сообщников, включая граждан КНДР, в создании фиктивных кадровых агентств, через которые северокорейцы проникли в 64 компании.

Подобные операции стали возможны благодаря системной подготовке кадров внутри КНДР. По данным южнокорейской разведки, численность киберподразделений страны достигла 8400 человек в 2024 году. Наиболее перспективные студенты после отбора попадают в элитные структуры, где учат языки, программирование и методы социальной инженерии. После этого их направляют за рубеж, где они живут по 10–20 человек в тесных квартирах, работают до 14 часов в день и находятся под жёстким контролем кураторов. У всех — строгие финансовые нормативы, а родственники в КНДР служат гарантией от побега.

Финансовая эффективность таких операций поражает. По оценкам, одна команда может зарабатывать до $3 млн в год. Эти деньги идут на финансирование режима Ким Чен Ына, включая ядерную программу. Хищения криптовалют — ещё одно направление: в 2022 году из проекта Axie Infinity вывели $600 млн, а в феврале 2025 года из биржи Bybit — $1,5 млрд.

Фальшивые сотрудники могут годами проработать в компании, не вызывая подозрений, но иногда и одного дня достаточно, чтобы внедрить вредоносный код, получить доступ к системам или заложить «тихую» закладку. Современные инструменты вроде дипфейка, ИИ и виртуальных помощников упрощают подделку личностей, а инструменты вроде ChatGPT позволяют проходить даже сложные технические интервью.

Работодатели теперь сами устраивают ловушки. При подозрении отправляют кандидатам поддельную страницу с тестом, запускающую десятки окон с информацией о побеге из КНДР, музыкальным сопровождением и громким звуком — как минимум, чтобы испортить им день. Но, как признаёт сам Вийкманс, это скорее жест отчаяния. Тем временем, где-то на другом конце мира очередной «Гарри» или «Даниэль» подключается к утреннему созвону своей команды — и, возможно, уже работает над вашим проектом.