Северокорейские хакеры обманули HR с помощью ИИ! Замаскировавшись под инженеров, они проникли внутрь и похитили 2,8 миллиарда — вся схема раскрыта

Исследователи безопасности BCA LTD, NorthScan и ANY.RUN развернули ловушку-ханипот для поимки хакеров северокорейской Lazarus Group и подразделения «Чоллима», замаскировав ноутбук под устройство разработчика и полностью записав на видео процесс атак северокорейских хакеров. Видео показывает, как северокорейские агенты используют ИИ-инструменты для создания идеальных ответов на собеседованиях, маскируют свое местоположение и устанавливают фиксированный PIN-код для Google Remote Desktop для долгосрочного контроля, сосредотачиваясь на создании образа идеального сотрудника, а не на немедленной атаке.

$2,8 млрд киберпреступлений — экономическая опора КНДР

Этот инцидент — лишь часть гораздо более масштабной индустрии, в которой трудовые мошенничества стали одним из главных источников дохода для режима, находящегося под санкциями. Многогранная мониторинговая группа недавно оценила, что организации, связанные с Пхеньяном, в период с 2024 по сентябрь 2025 года похитили около $2,83 млрд цифровых активов. Эта сумма составляет примерно треть валютной выручки КНДР, что свидетельствует о превращении киберкраж в элемент суверенной экономической стратегии.

$2,83 млрд сопоставимы с годовыми ВВП ряда малых стран. Эти средства используются для поддержки ядерной и баллистической программ КНДР, что делает борьбу с северокорейскими хакерами не только вопросом кибербезопасности, но и международной безопасности. Министерство финансов США, ФБР и правоохранительные органы разных стран рассматривают отслеживание и блокировку северокорейских киберпреступлений как один из приоритетов.

После того как международные санкции перекрыли КНДР легальные торговые каналы, киберпреступления стали одним из важнейших способов получения валюты. В отличие от традиционной контрабанды оружия или наркотиков, кибератаки требуют меньших затрат, сопряжены с меньшим риском и приносят огромные доходы. Хорошо обученная северокорейская хак-группа, имея лишь компьютер и интернет, способна похищать миллионы долларов из любой точки мира.

Такая государственная индустриализация свидетельствует, что КНДР рассматривает киберпреступления как стратегический ресурс. Lazarus Group и подразделение «Чоллима» — это не разрозненные группы, а официальные военные формирования, прошедшие государственную подготовку, получающие зарплату и выполняющие четко определённые задачи. Их операции тщательно спланированы: от выбора целей, подделки личности и технических методов до отмывания средств — на каждом этапе работает отдельная команда специалистов.

Четыре ключевые особенности индустриализации киберпреступлений КНДР

Государственная система подготовки: Отбор будущих хакеров начинается со средней школы, предоставляется профессиональное техническое и языковое обучение.

Глобальная распределённая дислокация: Северокорейские хакеры рассредоточены по Китаю, Юго-Восточной Азии и России для снижения риска отслеживания.

Организационное разделение труда: Проникновение, атаки и отмывание денег разделены между разными командами для повышения эффективности.

Управление по задачам: Каждая команда имеет чёткие годовые цели по объему хищений, за выполнение предусмотрены награды.

В феврале 2025 года одна из крупнейших CEX-бирж подверглась атаке, что стало ярким примером эффективности «человеческого фактора» в атаках. В том инциденте северокорейские хакеры, связанные с TraderTraitor, использовали украденные внутренние учетные данные, чтобы замаскировать внешние переводы под внутренние, и в итоге получили контроль над смарт-контрактом холодного кошелька. Биржа потеряла более $1,4 млрд — это одна из крупнейших краж в истории криптовалют.

Вооружение ИИ-инструментов: смертельная трансформация от продуктивности к атаке

(Источник: BCA LTD)

Самое тревожное открытие ханипот-операции — это то, как северокорейские хакеры превратили ИИ-инструменты для продуктивности в наступательное оружие. Они массово использовали легальные программы автоматизации поиска работы, в том числе Simplify Copilot и AiApply, чтобы генерировать совершенные ответы на собеседованиях и заполнять заявки. Эти инструменты создавались для помощи соискателям, но теперь стали оружием для обхода HR-проверок.

Simplify Copilot автоматически создает адаптированные сопроводительные письма и резюме по описанию вакансии, а AiApply может симулировать ответы на технические вопросы. Северокорейские хакеры совмещают эти инструменты с украденными подлинностями американских инженеров, формируя практически безупречные заявки. Для HR-отдела это идеальное резюме, уверенное собеседование и достоверная биография — нет ни малейших поводов для подозрений.

Использование западных инструментов продуктивности демонстрирует тревожную тенденцию: государственные акторы применяют ИИ, созданный для упрощения процессов найма, чтобы их же обмануть. Это раскрывает двойственную природу ИИ: один и тот же инструмент может как повышать продуктивность, так и служить оружием атаки. Компаниям, внедряющим ИИ в HR-процессы, следует учитывать риск злонамеренного использования таких инструментов.

Исследования показывают, что северокорейские хакеры маскируют своё местоположение через маршрутизацию трафика и используют браузерные сервисы для обработки двухфакторной аутентификации украденных аккаунтов. Такой технологический стек говорит об их глубоком понимании западных систем защиты. Обход геолокационных проверок, обработка 2FA в браузере и легальный бэкграунд украденных идентичностей формируют комплексную схему маскировки.

Конечная цель — не немедленное разрушение, а долгосрочный контроль. Хакеры настраивают Google Remote Desktop через PowerShell с фиксированным PIN-кодом, чтобы даже при попытке отзыва прав они сохраняли доступ к машине. Такая бэкдор-механика показывает терпение и планирование северокорейских хакеров: они готовы месяцами выстраивать доверие ради полного контроля в нужный момент.

Ханипот-операция раскрывает полную цепочку атаки и контрмеры

(Источник: NorthScan)

Исследователи безопасности заманили северокорейских агентов в «разработческий» ноутбук с ловушкой и с помощью камеры записали их действия. Эксперты BCA LTD, NorthScan и платформы ANY.RUN зафиксировали эволюцию киберпреступлений, поддерживаемых государством, в реальном времени. Такая операция впервые позволила получить полный взгляд на атаку северокорейских хакеров.

Операция началась с создания исследователями профиля разработчика и принятия приглашения на собеседование от рекрутера под псевдонимом «Aaron». Рекрутер не внедрял стандартное вредоносное ПО, а предложил распространенную в Web3-сфере удалённую работу. Получив доступ к ноутбуку, северокорейский агент не пытался эксплуатировать софтверные уязвимости, а сосредоточился на формировании образа идеального сотрудника.

Это видео стало самым четким доказательством того, как подразделения КНДР — особенно знаменитая «Чоллима» — обходят традиционные фаерволы путем легального найма через HR-отделы целевых стран. «Чоллима» — элитное подразделение кибервойск КНДР, названное в честь мифологического крылатого коня, символа скорости и эффективности. Оно специализируется на проникновении в финансовые и криптовалютные компании.

По сути, их цель — не мгновенное взломать кошельки, а стать доверенным инсайдером, чтобы получить доступ к внутренним репозиториям и облачным дашбордам. Они запускают проверку оборудования, выполняют стандартные задачи разработчика, участвуют в командных встречах и ведут себя как добросовестные удалённые сотрудники. Такое терпение и маскировка особенно опасны — компании практически не могут выявить угрозу на ранних этапах.

Шесть этапов полной цепочки атаки северокорейских хакеров

Подготовка личности: Кража или покупка документов и LinkedIn-аккаунта настоящего американского инженера

ИИ-ассистированный поиск работы: Использование Simplify Copilot и AiApply для создания идеальных заявок и ответов на собеседованиях

Прохождение интервью: Демонстрация реальных технических навыков и свободного английского

Завоевание доверия: Активная и профессиональная работа на старте, выполнение задач по разработке

Внедрение бэкдора: Настройка Google Remote Desktop и других механизмов устойчивого контроля

Ожидание момента: Терпеливое скрытое присутствие до получения доступа к ключевым системам или кошелькам

От KYC к KYE: радикальная смена парадигмы корпоративной защиты

Рост социальной инженерии стал серьезным вызовом для индустрии цифровых активов. В этом году компании Huntress и Silent Push выявили целые сети фиктивных компаний (например, BlockNovas и SoftGlide) с действующей американской регистрацией и достоверными LinkedIn-профилями. Эти структуры под видом технических оценок заставляли разработчиков запускать вредоносные скрипты.

Для комплаенс-офицеров и CISO задачи изменились. Традиционный принцип «Знай своего клиента» (KYC) был нацелен на клиентов, но атаки Lazarus требуют строгого подхода «Знай своего сотрудника» (KYE). Такая смена парадигмы вынуждает компании пересматривать процессы найма и управления персоналом.

Минюст США уже начал борьбу с IT-мошенничеством, изъяв $7,74 млн, связанных с этими схемами, однако выявляемость по-прежнему крайне низка. $7,74 млн — лишь малая часть по сравнению с $2,83 млрд общих потерь, что говорит об ограниченной результативности правоохранительных мер. Северокорейские хакерские сети распределены по разным странам, а анонимность и трансграничность криптовалют затрудняют отслеживание и наказание.

Как показала операция BCA LTD, единственный способ поймать этих преступников — перейти от пассивной защиты к активному обману, создавая контролируемую среду, чтобы вынудить атакующих раскрыть свои методы до получения контроля над активами. Такая стратегия активной обороны — серьезный сдвиг в кибербезопасности: от обороны к ловушкам.

Пять ключевых мер KYE для крипто-компаний

Многоэтапные видеособеседования: Обязательное включение камеры, наблюдение за мимикой и окружением кандидата

Мгновенная проверка технических навыков: Программирование в реальном времени вместо просмотра портфолио

Глубокая проверка биографии: Связь с бывшими работодателями, подтверждение дипломов, анализ соцсетей

Постепенное расширение доступа: Новым сотрудникам — только к несекретным системам, повышение прав поэтапно

Мониторинг аномалий: Выявление инструментов для сокрытия местоположения, нетипичного рабочего времени и подозрительных программ

Успех ханипот-стратегии показывает: против государственных киберугроз пассивной защиты больше недостаточно. Компаниям нужно действовать проактивно — создавать ловушки для выявления и анализа потенциальных угроз. Когда северокорейские хакеры думают, что успешно проникли, на деле они раскрывают свои инструменты, методы и процессы (TTPs), предоставляя ценную информацию для сообщества безопасности.

В более широком смысле, этот инцидент подчеркивает новые вызовы эпохи удалённой работы. Когда члены команды разбросаны по всему миру и никогда не встречались лично, проверка их реальной идентичности становится ключевой задачей. Криптоиндустрия — из-за высокой стоимости активов и культуры удалёнки — стала главной мишенью северокорейских хакеров. Компании должны совмещать гибкость удалёнки с более строгой верификацией и мониторингом сотрудников.