Північнокорейські хакери використали AI, щоб обдурити HR! Інженер під прикриттям викрав 2,8 мільярда — повна хронологія

Дослідники з безпеки BCA LTD, NorthScan та ANY.RUN розгорнули пастки-«медові горщики» для виявлення діяльності Lazarus Group та угруповання «Чолліма», повністю задокументувавши на відео процес злому з боку північнокорейських хакерів, які маскувалися під розробників. На відео видно, як північнокорейські агенти використовують AI-інструменти для створення ідеальних відповідей на співбесіді, приховують своє місцезнаходження та встановлюють фіксований PIN-код для Google Remote Desktop, аби забезпечити довготривалий контроль. Вони зосереджені на створенні образу зразкового співробітника, а не на негайній атаці.

2,8 мільярда доларів кіберзлочинів стали економічною опорою Північної Кореї

Ця подія — лише частина масштабнішої індустріальної системи, яка вже зробила шахрайство з працевлаштуванням основним джерелом доходу для режиму під санкціями. Мультистороння група моніторингу санкцій нещодавно оцінила, що організації, пов’язані з Пхеньяном, в період з 2024 року до вересня 2025 року викрали близько 2,83 мільярда доларів у цифрових активах. Ця сума становить приблизно третину іноземних валютних надходжень Північної Кореї, що свідчить про перетворення кіберкрадіжок на елемент суверенної економічної стратегії.

Обсяг у 2,83 мільярда доларів співставний з річним ВВП багатьох малих країн. Ці кошти використовуються для підтримки ядерної та ракетної програм КНДР, що робить боротьбу з хакерами не лише питанням кібербезпеки, а й міжнародної безпеки. Міністерство фінансів США, ФБР та правоохоронці багатьох країн оголосили відстеження та зупинку північнокорейської кіберзлочинності своїм пріоритетом.

Після того як міжнародні санкції відрізали КНДР від нормальних торговельних каналів, кіберзлочин став одним із головних способів здобуття іноземної валюти. На відміну від традиційної контрабанди зброї чи наркотиків, кіберзлочини мають низьку вартість, відносно невисокі ризики й величезний прибуток. Добре навчена команда хакерів із КНДР, маючи лише комп’ютер і доступ до інтернету, може викрадати мільйони доларів з будь-якої точки світу.

Така державна індустріалізація свідчить, що Північна Корея розглядає кіберзлочин як стратегічний ресурс. Lazarus Group та «Чолліма» — це не розрізнені злочинці, а підготовлені державою співробітники, що отримують зарплату й мають чітко визначені завдання. Їхні операції ретельно сплановані: від вибору цілей, підробки особистостей, технічних засобів до відмивання коштів — кожний етап виконується окремими спеціалізованими групами.

Чотири ключові ознаки індустріалізації кіберзлочинності в КНДР

Державна система підготовки: відбір хакерських кадрів зі школи, професійна технічна та мовна підготовка

Глобальна розосередженість: північнокорейські хакери працюють з Китаю, Південно-Східної Азії, Росії для зменшення ризику відстеження

Організований поділ праці: проникнення, атаки, відмивання коштів — за кожен етап відповідають окремі групи

Управління за завданням: кожна група має чіткі річні цілі по викраденню, за виконання завдань передбачені винагороди

У лютому 2025 року велика CEX-біржа стала жертвою атаки, що остаточно довела ефективність «людського фактору» в атаках. У тій події хакери з КНДР, пов’язані з TraderTraitor, використали викрадені внутрішні облікові дані, замаскували зовнішній переказ під внутрішній і, зрештою, отримали контроль над смарт-контрактом холодного гаманця. Втрати CEX перевищили 1,4 мільярда доларів, що стало однією з найбільших криптовалютних крадіжок в історії.

Озброєння AI-інструментів: фатальна трансформація з продуктивності на атаку

(Джерело: BCA LTD)

Озброєння AI-інструментів продуктивності північнокорейськими хакерами — найтривожніше відкриття цієї операції з «медовим горщиком». Вони масово використовують легальні програми автоматизації працевлаштування, зокрема Simplify Copilot та AiApply, для створення ідеальних відповідей на співбесіди та заповнення анкет. Інструменти, що мали допомагати шукачам роботи підвищувати ефективність, стали зброєю північнокорейських агентів для обходу перевірок HR.

Simplify Copilot генерує індивідуальні супровідні листи й резюме відповідно до опису вакансії, AiApply імітує людські відповіді на технічні питання співбесіди. Хакери поєднують ці інструменти з викраденими справжніми американськими профілями інженерів, створюючи майже ідеальні заявки на роботу. HR бачить ідеальне резюме, впевнену поведінку на співбесіді й реальне походження — немає жодних підстав підозрювати обман.

Таке використання західних інструментів продуктивності демонструє тривожну тенденцію до ескалації: державні структури використовують AI-технології, створені для спрощення рекрутингу, проти самих компаній. Це також ілюструє двоїстий характер AI: ті самі інструменти однаково підвищують продуктивність і можуть бути зброєю для атаки. Компаніям, що використовують AI для рекрутингу, варто враховувати ризик їхнього зловмисного застосування.

Розслідування показало: північнокорейські хакери маскують своє місцезнаходження за допомогою маршрутизації трафіку, а для роботи з двофакторною аутентифікацією викрадених ідентичностей використовують веб-сервіси. Таке поєднання технологій свідчить про глибоке розуміння західних корпоративних заходів безпеки. Оминаючи перевірки геолокації, обробляючи 2FA-коди через браузер і маючи реальний бекграунд, вони формують повноцінну систему маскування.

Головна мета — не негайне знищення цілі, а довготривалий контроль. Оперативники через PowerShell налаштовують Google Remote Desktop із фіксованим PIN-кодом, щоб навіть при спробах власника скасувати доступ зберігати контроль над машиною. Такий бекдор демонструє терплячість і довгострокове планування: вони готові місяцями вибудовувати довіру, щоб у вирішальний момент отримати повний контроль над системою.

Реальний матеріал із «медового горщика» розкриває повний ланцюг атаки й стратегії захисту

(Джерело: NorthScan)

Дослідники безпеки заманили північнокорейських агентів на ноутбук-«пастку» для розробників і зафіксували всі їхні дії на відео. Команди BCA LTD, NorthScan і платформи аналізу шкідливого ПЗ ANY.RUN у реальному часі задокументували еволюцію державної кіберзлочинності. Така операція дала унікальну можливість зрозуміти повний ланцюг атак північнокорейських хакерів.

Дослідники створили профіль розробника й прийняли запрошення на співбесіду від рекрутера під псевдонімом «Aaron». Той не розгортав стандартне шкідливе ПЗ, а організував співбесіду за схемою віддаленої роботи, типовою для Web3-компаній. Після надання доступу до ноутбука північнокорейський агент не намагався експлуатувати вразливості, а зосередився на створенні іміджу зразкового співробітника.

Це відео дає галузі найчіткіше уявлення, як північнокорейські підрозділи, особливо легендарна «Чолліма», обходять традиційні фаєрволи, будучи безпосередньо найнятими HR-менеджерами цільових країн. «Чолліма» (Chollima) — елітний підрозділ КНДР із кібероперацій, названий на честь міфічного швидкого коня, спеціалізується на проникненні у фінансові інститути та криптовалютні компанії.

По суті, вони не намагаються одразу зламати гаманець, а створюють собі імідж надійного інсайдера для отримання доступу до внутрішніх сховищ і хмарних панелей. Вони запускають діагностичні програми, виконують звичайні завдання розробника, беруть участь у зустрічах команди — поводяться як старанний віддалений працівник. Саме ця витримка та здатність до маскування найнебезпечніші, бо роблять загрозу практично невидимою на ранніх етапах.

Шість етапів повного ланцюга атаки північнокорейських хакерів

Підготовка особистості: викрадення або купівля справжніх документів американських інженерів і акаунтів LinkedIn

AI-допомога в працевлаштуванні: використання Simplify Copilot і AiApply для ідеальних анкет і відповідей

Проходження співбесіди: демонстрація реальних технічних навичок і вільної англійської

Побудова довіри: на старті активна професійна поведінка, виконання завдань

Встановлення бекдору: налаштування Google Remote Desktop та інших механізмів постійного контролю

Вичікування моменту: прихована присутність до отримання ключових доступів або прав на гаманець

Від KYC до KYE: радикальна зміна підходу до корпоративного захисту

Підйом соціальної інженерії створив серйозну кризу відповідальності для індустрії цифрових активів. На початку року компанії Huntress і Silent Push задокументували мережу фіктивних компаній (наприклад, BlockNovas і SoftGlide) із чинною американською реєстрацією та достовірними профілями LinkedIn. Ці структури під виглядом технічної оцінки змушували розробників інсталювати шкідливі скрипти.

Для комплаєнс-офіцерів і CISO виклики докорінно змінилися. Традиційні протоколи «знай свого клієнта» (KYC) орієнтувалися на клієнтів, але workflow Lazarus вимагає суворих стандартів «знай свого співробітника» (KYE). Такий зсув парадигми змушує компанії переосмислити весь процес рекрутингу та управління персоналом.

Мін’юст США вже почав боротьбу з цими IT-шахрайствами, вилучивши 7,74 мільйона доларів, але детекція все ще суттєво відстає. 7,74 мільйона доларів — лише верхівка айсберга порівняно з 2,83 мільярдами загальної суми викраденого — ефективність правоохоронців обмежена. Хакерські мережі КНДР розосереджені по численних країнах, використовують анонімність криптовалюти та транскордонний характер, що надзвичайно ускладнює їхній пошук і притягнення до відповідальності.

Як показала операція BCA LTD із контрольованим «фішингом», єдиний спосіб зловити таких злочинців — перейти від пасивної оборони до активного обману, створюючи контрольоване середовище і змушуючи загрози розкривати свої методи ще до отримання контролю над коштами. Така стратегія є принципово новим підходом — від зміцнення стін до створення пасток.

П’ять ключових заходів KYE для криптокомпаній

Багаторівневі відеоінтерв’ю: обов’язково з увімкненою камерою для аналізу міміки й деталей оточення

Оперативна перевірка технічних навичок: live-кодування замість лише портфоліо

Глибока перевірка бекграунду: контакти з попередніми роботодавцями, перевірка дипломів і соцмереж

Поступова ескалація доступів: нові співробітники спершу мають лише несуттєві права з поступовим розширенням

Моніторинг аномальної поведінки: виявлення інструментів для маскування місцезнаходження, нетипового часу роботи, підозрілих програм

Успіх стратегії «медового горщика» доводить: перед обличчям державних кіберзагроз традиційна пасивна оборона неефективна. Компанії повинні діяти проактивно: розгортати системи-пастки для виявлення потенційних загроз. Коли північнокорейські хакери вважають, що успішно проникли, насправді вони розкривають свої інструменти, техніки й процеси (TTPs), надаючи цінну розвідінформацію для безпекової спільноти.

В ширшому контексті ця подія підкреслює нові виклики безпеки доби віддаленої роботи. Коли члени команди розкидані по світу й ніколи не зустрічалися наочно, питання справжності їхньої особистості стає критичним. Криптоіндустрія — через дорогі активи й розповсюджену культуру ремоуту — є головною ціллю для хакерів КНДР. Компаніям необхідно зберігати гнучкість дистанційної роботи, впроваджуючи водночас жорсткіші процеси перевірки та моніторингу співробітників.