100 тысяч коллег из Пхеньяна. Северная Корея стала крупнейшим поставщиком фейковых айтишников и зарабатывает на них полмиллиарда в год

Северная Корея выстроила большую схему с фальшивыми ИТ-специалистами, которые устраиваются на удаленную работу в зарубежные компании под чужими именами, получают зарплату и, по данным исследователей, в ряде случаев помогают Пхеньяну зарабатывать сотни миллионов долларов в год. Такой вывод содержится в совместном отчете Flare Research и IBM X-Force, опубликованном 18 марта. The Register со ссылкой на исследование пишет, что в схеме могут участвовать более 100 тысяч человек в 40 странах, а общий годовой доход оценивается примерно в $500 млн.

Речь идет не об отдельном эпизоде, а о целой рабочей системе. Внутри структуры действуют рекрутеры, кураторы, сами исполнители и западные посредники. Рекрутеры отбирают кандидатов, проводят первичные интервью и передают подходящих людей дальше. Кураторы помогают создавать легенду, подбирать резюме, оформлять профили и искать вакансии. Исполнители берут фриланс-заказы или пытаются получить постоянную должность в западной компании. Посредники с Запада передают документы, помогают пройти проверку личности, получают корпоративную технику, принимают посылки, оформляют бумаги и иногда делят зарплату.

Северокорейские группы используют не только вымышленные профили, но и реальные личности. Для прикрытия подделывают резюме, создают аккаунты в LinkedIn, GitHub и на фриланс-биржах, подбирают биографии под конкретную страну и даже ищут, какие университеты и компании лучше вписать в легенду. В ряде случаев соискателям предлагают работать под американским именем и жить по часовому поясу США. Одной из ширм в материалах расследования названа компания C Digital LLC, которую кандидатам представляли как стартап без публичной информации.

Из найденных таблиц можно понять, как устроена повседневная работа такой сети. Сотрудники фиксировали время, потраченное на Bids и Msg. Под Bids понимаются отклики на заказы на площадках вроде Upwork, под Msg - переписка и попытки установить контакт через Upwork, LinkedIn, Freelancer и другие сервисы. В некоторых случаях один человек отправлял за месяц сотни заявок, а за день мог делать до 300 откликов. После увольнения или блокировки аккаунта цикл обычно начинался заново: новая личность, новый профиль и новый поиск работы.

После успешного найма схема не заканчивается. Часть работников получала постоянные позиции и доступ к корпоративной почте, Slack, Zoom, Teams, Jira, BambooHR, SharePoint и другим внутренним системам. Особенно удобной целью для таких людей становятся веб-студии и агентства, которые работают сразу с несколькими клиентами: одна удачная легенда может открыть путь сразу к нескольким компаниям. Главная цель чаще всего связана с заработком, но некоторые группы также занимались кражей данных, вымогательством и финансовыми хищениями.

Важную роль в схеме играет автоматизация. Google Translate назван одним из ключевых инструментов северокорейских исполнителей. Сервис используют для перевода вакансий, подготовки откликов, чтения рабочих сообщений и даже проверки собственных фраз на английском через обратный перевод на корейский. В материале также упоминаются ChatGPT, коммерческие VPN-сервисы, поддельные фото профиля, измененные фоновые изображения для видеозвонков и следы поиска способов накрутить активность в GitHub. Отдельно названы OConnect и NetKey, которые связывают с внутренней северокорейской инфраструктурой, а также IP Messenger для локальной связи внутри сети.

Внутри такой экосистемы исследователи нашли собственные сервисы для учета машин, регистрации пользователей, сетевых отчетов и загрузки программ. В отчете фигурируют платформы RB Site и NetkeyRegister, которые, по версии Flare Research и IBM X-Force, помогают управлять устройствами и внутренней рабочей средой. Среди признаков, на которые компаниям советуют смотреть, названы подозрительные VPN и прокси, следы удаленного доступа, несоответствия между резюме и реальными навыками, а также странности на видеоинтервью: поддельные фоны, замену лица и изменение голоса с помощью ИИ. Бороться с такой схемой, считают авторы отчета, должны не только ИБ-отделы, но и HR-команды, нанимающие менеджеры и интервьюеры.