Когда “массажистка с TikTok” помогает обойти санкции: история одной вербовки

Министерство юстиции США инициировало гражданский иск о конфискации более 7,74 миллиона долларов в криптовалюте, невзаимозаменяемых токенах (NFT) и других цифровых активах, связанных с многоуровневой мошеннической схемой, организованной Северной Кореей через фальшивых IT-специалистов.

По данным американских властей, на протяжении нескольких лет КНДР систематически использовала глобальные платформы удалённой работы и криптовалютные механизмы для обхода санкций и финансирования своей военной программы. Основной механизм — трудоустройство своих граждан под чужими личностями в технологические и криптовалютные компании США, где они получали зарплату и переправляли её в обход санкционного контроля через заранее подготовленные каналы.

В основу дела легло апрельское обвинение 2023 года против Сим Хён Сопа — представителя северокорейского банка Foreign Trade Bank, который, по мнению прокуратуры, действовал как связующее звено между фальшивыми IT-специалистами и правительственными структурами КНДР. Работая под поддельными именами и используя инструменты искусственного интеллекта, включая ChatGPT , эти сотрудники проходили собеседования и устраивались в компании, минуя стандартные процедуры проверки.

Сеть функционировала под названиями Wagmole и UNC5267, и, как отмечают специалисты, была организована на базе Трудовой партии Кореи. Помимо создания фальшивых профилей, в схему входили отдельные координаторы, которые организовывали так называемые «фермы ноутбуков», обеспечивали проведение видеоинтервью и занимались отмыванием средств через цепочку подставных счетов.

Одна из участниц схемы — Кристина Мари Чэпмен — уже признала вину. Она была завербована через сообщение в LinkedIn в 2020 году. Ранее она работала официанткой и массажисткой, имея параллельно более 100 тысяч подписчиков в TikTok. Её приговор ожидается 16 июля.

Дальнейшее расследование показало, что Сим Хён Соп использовал криптовалютный кошелёк, через который прошло более 24 миллионов долларов с августа 2021 по март 2023 года. Анализ показал, что большинство этих средств поступили от Кима Сан Мана — руководителя компании «Chinyong» (или «Jinyong IT Cooperation Company»). Он же действовал как финансовый узел, получая средства от IT-специалистов и направляя их в нужные каналы.

По данным DTEX, данная сеть представляет собой организованную преступную структуру, действующую под патронажем государства. Она делится на два типа работников: одни — так называемые Revenue IT Workers — сосредоточены на генерации дохода, а другие — Malicious IT Workers — выполняют вредоносные действия внутри инфраструктуры компаний, включая шантаж, саботаж и кражу интеллектуальной собственности.

Компания Chinyong активно продвигала своих специалистов в блокчейн-проекты. Два подставных сотрудника, работавших на неё под именами Наоки Мурано и Дженсон Коллинз, были идентифицированы как участники операций по финансированию режима, причём Мурано связывают с криптовалютным хищением в размере 6 миллионов долларов в сентябре 2024 года в компании DeltaPrime.

Следствие также выявило использование фальшивых доменов и аккаунтов для создания поддельных рекомендательных писем и анкет. Некоторые из этих аккаунтов были заражены вредоносным ПО, которое позволило получить доступ к конфиденциальной информации, включая историю браузера, где находились переводы с английского на корейский по темам подделки рекомендаций и доставки оборудования.

Отдельное внимание специалистов привлекла уникальная система удалённого контроля, позволявшая северокорейским IT-работникам управлять ноутбуками из фермы, находясь при этом за тысячи километров. Система включала нестандартные сетевые сигналы, скрытые каналы команд управления на основе WebSocket и модификацию параметров Zoom, чтобы исключить визуальные или аудиосигналы, указывающие на удалённое подключение.

Параллельно с кампанией Wagemole работает и другая группа — Contagious Interview , также известная под названиями DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan и другими. Её тактика отличается: вместо устройства на работу под фальшивым именем, злоумышленники берут под контроль уже занятые должности, используя вредоносное ПО и социальную инженерию.

По оценкам специалистов, в ближайшие годы вектор кибератак может сместиться на банковский сектор. Интеграция блокчейн-технологий и Web3 в традиционные финансы открывает новые лазейки для киберкампаний, нацеленных на обход санкций. Эксперты предупреждают: чем глубже финансовая отрасль внедряется в децентрализованные технологии, тем выше вероятность попадания в поле зрения северокорейских структур .