13/05/25
Теперь мишенями становятся компании из Европы и Азии, включая Японию. Мошеннические кандидаты от имени КНДР продолжают выдавать себя за профессионалов из Вьетнама, Сингапура, Японии и США. Чтобы убедить работодателей, злоумышленники адаптируют фальшивые профили, подделывая фотографии, используя генеративный ИИ, подстраивая цифровые следы и даже меняя пол персонажей — в 2025 году резко выросло количество «женских» профилей.
Основная цель остаётся прежней — стабильная зарплата, которую впоследствии можно направить на финансирование северокорейских государственных интересов. Однако на втором плане возникает всё более опасный мотив, пишет Securitylab: вымогательство данных. В 2024 году было зафиксировано несколько попыток шантажа с использованием украденного исходного кода и интеллектуальной собственности. Такие случаи происходят не только после увольнения, но и на ранних этапах работы — иногда спустя всего несколько дней после выхода на должность.
Кроме того, компании подвергаются риску классического внутреннего саботажа: кража учётных данных, несанкционированный доступ к облачным инфраструктурам и API, похищение конфиденциальной информации. Полученный таким образом доступ может быть передан другим хак-группам КНДР для дальнейших атак.
На этапе трудоустройства мошенники используют продвинутые методы. Резюме сопровождаются отредактированными фотографиями, на которых реальные черты наложены на стоковые изображения. В ход идут инструменты генеративного ИИ, включая нейросети для генерации текстов и изображений, а также автоматические конструкторы резюме. Сразу после начала работы начинается техническая активность: устанавливаются утилиты для имитации активности мыши, VPN, несколько RMM-инструментов, а также KVM over IP для удалённого управления. Некоторые «сотрудники» часами держат включённые Zoom-сессии с демонстрацией экрана и настаивают на использовании личных устройств вместо корпоративных ноутбуков, что снижает эффективность корпоративного контроля.
Специалисты CTU подчёркивают важность человеческого фактора в противодействии подобным схемам. В процессе найма необходимо ужесточить подтверждение личности и внимательно следить за цифровыми следами кандидатов. Рекомендуется проверять резюме на клонов, сравнивать предоставленные номера с базами VoIP, задавать фоновые вопросы, проверять навыки владения английским и требовать временного отключения цифровых фильтров при собеседовании по видеосвязи.
