Искали джависта на удалёнку, а нашли шантажиста с миссией финансирования КНДР

Схема трудоустройства IT-специалистов из КНДР продолжает расширяться, охватывая новые регионы и отрасли. Группа NICKEL TAPESTRY, давно работающая под прикрытием в IT-сфере, активизировала свои действия за пределами США — теперь мишенями становятся компании из Европы и Азии, включая Японию. Причина такого сдвига — усиленное внимание к угрозе в США и предпринятые меры противодействия, что заставило организаторов переориентироваться.

Мошеннические кандидаты от имени КНДР продолжают выдавать себя за профессионалов из Вьетнама, Сингапура, Японии и США. Чтобы убедить работодателей, злоумышленники адаптируют фальшивые профили, подделывая фотографии, используя генеративный ИИ, подстраивая цифровые следы и даже меняя пол персонажей — в 2025 году резко выросло количество «женских» профилей.

Основная цель остаётся прежней — стабильная зарплата, которую впоследствии можно направить на финансирование северокорейских государственных интересов. Однако на втором плане возникает всё более опасный мотив: вымогательство данных. В 2024 году было зафиксировано несколько попыток шантажа с использованием украденного исходного кода и интеллектуальной собственности. Такие случаи происходят не только после увольнения, но и на ранних этапах работы — иногда спустя всего несколько дней после выхода на должность.

Кроме того, компании подвергаются риску классического внутреннего саботажа: кража учётных данных, несанкционированный доступ к облачным инфраструктурам и API, похищение конфиденциальной информации. Полученный таким образом доступ может быть передан другим хак-группам КНДР для дальнейших атак.

На этапе трудоустройства мошенники используют продвинутые методы. Резюме сопровождаются отредактированными фотографиями, на которых реальные черты наложены на стоковые изображения. В ход идут инструменты генеративного ИИ, включая нейросети для генерации текстов и изображений, а также автоматические конструкторы резюме. Сразу после начала работы начинается техническая активность: устанавливаются утилиты для имитации активности мыши, VPN, несколько RMM-инструментов, а также KVM over IP для удалённого управления. Некоторые «сотрудники» часами держат включённые Zoom-сессии с демонстрацией экрана и настаивают на использовании личных устройств вместо корпоративных ноутбуков, что снижает эффективность корпоративного контроля.

Специалисты CTU подчёркивают важность человеческого фактора в противодействии подобным схемам. В процессе найма необходимо ужесточить верификацию личности и внимательно следить за цифровыми следами кандидатов. Рекомендуется проверять резюме на клонов, сравнивать предоставленные номера с базами VoIP, задавать фоновые вопросы, проверять навыки владения английским и требовать временного отключения цифровых фильтров при собеседовании по видеосвязи.

При онбординге стоит тщательно сверять личность нового сотрудника с ранее утверждённым кандидатом, обращать внимание на попытки изменить адрес доставки техники, использовать личные устройства или менять банковские реквизиты. Запрещаются авансовые выплаты.

После выхода сотрудника на работу необходимо контролировать его активность через антивирусные и EDR-системы , проверять сетевые соединения через VPN, ограничивать доступ к критическим системам и проявлять настороженность при отказах от видеозвонков или присутствии фона, характерного для колл-центров.