Специалисты DTEX раскрыли личности двух фигурантов — предположительно под псевдонимами Naoki Murano и Jenson Collins. По данным компании, они сначала работали из Лаоса, а затем перебрались в Восточную Европу. Murano уже упоминался в расследованиях: в прошлом году его связывали с хищением $6 миллионов у криптоплатформы DeltaPrime. Collins, по имеющимся данным, занимался блокчейн-проектами, предположительно целиком управляемыми из КНДР, пишет Securitylab.
DTEX опубликовала более 1000 адресов электронной почты, которые, по их утверждению, связаны с активностью северокорейских IT-специалистов. Это одна из крупнейших попыток вскрытия масштабов их присутствия в мировой цифровой экономике. Исследование показало, что за многими адресами стоят фейковые личности, не имеющие настоящей цифровой активности, но зарегистрированные на платформах для фрилансеров и разработчиков.
Ким Чен Ын давно превратил цифровую индустрию в один из главных источников финансирования режима. Помимо хакеров, занимающихся кражами криптовалют и разведывательной деятельностью, активно работают тысячи IT-специалистов, выдающих себя за фрилансеров из других стран. Многие из них проходят обучение с детства и могут быть знакомы друг с другом с юных лет. Несмотря на высокий уровень технической подготовки, они часто оставляют следы: забытые комментарии в коде, открытые репозитории с резюме, ошибки в поддельных биографиях.
По данным DTEX, Murano и Collins были частью группы разработчиков, которую называли «Misfits» — фотографии этой команды были найдены в открытом Dropbox-аккаунте. Их собирали аналитики, отслеживающие северокорейскую активность. На снимках Murano позирует с блюдом стейка, а Collins — в бассейне. Кроме того, в одном из кадров зафиксирован человек в комнате с тремя мужчинами в военной форме и работающими компьютерами. Камера наблюдения на стене и открытые переписки в WhatsApp намекают на тотальный контроль со стороны Министерства государственной безопасности КНДР.
Согласно структуре, представленной DTEX, часть IT-работников связана с армейскими подразделениями, часть — с министерством обороны, а другие работают на промышленное ведомство, ответственное за разработку вооружений. Существует и связанная с искусственным интеллектом структура — Центр исследований 227, подчинённый Главному разведывательному управлению. Работникам устанавливают финансовые нормы, и лишь малая часть дохода — около $200 из $5000 — остаётся у исполнителя. Остальное уходит в государственный бюджет КНДР.
Всё это происходит на фоне усиливающегося давления со стороны США. В 2023 году были введены санкции против Chinyong Information Technology Cooperation Company, а в 2024 — против ряда компаний, действующих в Китае и Лаосе. По оценке Минфина США, северокорейские IT-группы приносят стране сотни миллионов долларов ежегодно.
В последнее время IT-работники КНДР стали активно использовать подмену внешности — с помощью нейросетей они меняют лица на фото и во время видеозвонков. Пример — фальшивый разработчик под именем Benjamin Martin, чьё лицо, по мнению аналитиков, является фотомонтажом с реального человека. Указанные в его резюме компании не подтверждают факт сотрудничества, а при попытке контакта по Telegram он лаконично ответил на китайском, что является северокорейским IT-работником.