Секретные кадры с подстроенного ноутбука показывают, как северокорейские шпионы обходят вашу службу безопасности

Оперативники из Северной Кореи были пойманы на камеру в прямом эфире после того, как исследователи по безопасности заманили их в ловушку — «разработческий ноутбук», зафиксировав, как связанная с Lazarus группа пыталась внедриться в американский рынок криптовалютных вакансий, используя легитимные инструменты для найма на базе искусственного интеллекта и облачные сервисы.

Как сообщается, эволюция киберпреступности, спонсируемой государством, была зафиксирована в реальном времени исследователями из BCA LTD, NorthScan и платформы анализа вредоносного ПО ANY.RUN.

Захват северокорейского атакующего

Hacker News поделился, что в ходе скоординированной операции команда развернула «honeypot» — среду наблюдения, замаскированную под легитимный ноутбук разработчика, чтобы заманить группу Lazarus.

Полученные видеозаписи предоставляют отрасли самый ясный на сегодняшний день взгляд на то, как северокорейские подразделения, в частности знаменитое подразделение Chollima, обходят традиционные межсетевые экраны, просто устраиваясь на работу в отдел кадров целевой компании.

Операция началась с того, что исследователи создали персону разработчика и приняли приглашение на собеседование от рекрутера под псевдонимом «Aaron». Вместо того чтобы внедрять стандартное вредоносное ПО, рекрутер предложил перейти на удалённую форму занятости, что является обычной практикой в секторе Web3.

Когда исследователи предоставили доступ к «ноутбуку», который на самом деле был тщательно контролируемой виртуальной машиной, имитирующей рабочую станцию из США, оперативники не пытались использовать уязвимости в коде.

Вместо этого они сосредоточились на создании образа примерных сотрудников.

Построение доверия

Оказавшись внутри контролируемой среды, оперативники продемонстрировали рабочий процесс, оптимизированный для маскировки, а не взлома.

Они использовали легитимное программное обеспечение для автоматизации работы, включая Simplify Copilot и AiApply, чтобы генерировать отточенные ответы на собеседования и массово заполнять формы заявок.

Это использование западных инструментов повышения производительности подчеркивает тревожную эскалацию, показывая, что государственные акторы используют те же AI-технологии, которые были созданы для оптимизации корпоративного найма, чтобы обойти их.

Расследование показало, что злоумышленники направляли свой трафик через Astrill VPN для сокрытия местоположения и использовали браузерные сервисы для обработки кодов двухфакторной аутентификации, связанных с украденными личностями.

Их конечной целью было не немедленное разрушение, а долгосрочный доступ. Оперативники настраивали Google Remote Desktop через PowerShell с фиксированным PIN-кодом, чтобы обеспечить себе контроль над машиной даже в случае попытки владельца отозвать привилегии.

Таким образом, их команды были административными, они запускали системную диагностику для проверки аппаратного обеспечения.

По сути, они не пытались сразу взломать кошелек.

Вместо этого северокорейцы стремились зарекомендовать себя как доверенные инсайдеры, чтобы получить доступ к внутренним репозиториям и облачным панелям управления.

Поток доходов на миллиарды долларов

Этот инцидент является частью более крупного индустриального комплекса, который превратил мошенничество с трудоустройством в основной источник дохода для режима, находящегося под санкциями.

Многосторонняя группа по мониторингу санкций недавно оценила, что связанные с Пхеньяном группы похитили примерно $2.83 миллиардов в цифровых активах в период с 2024 по сентябрь 2025 года.

Эта сумма, составляющая примерно треть валютных поступлений Северной Кореи, свидетельствует о том, что киберворовство стало суверенной экономической стратегией.

Эффективность этой «человеческой» векторной атаки была разрушительно доказана в феврале 2025 года во время взлома биржи Bybit.

В том инциденте злоумышленники, связанные с группой TraderTraitor, использовали скомпрометированные внутренние учетные данные, чтобы замаскировать внешние переводы под внутренние перемещения активов, в конечном итоге получив контроль над смарт-контрактом холодного кошелька.

Кризис соответствия

Переход к социальному инжинирингу создает серьезный кризис ответственности для индустрии цифровых активов.

В начале этого года такие компании по кибербезопасности, как Huntress и Silent Push, задокументировали сети подставных компаний, включая BlockNovas и SoftGlide, которые имеют действующие корпоративные регистрации в США и достоверные профили в LinkedIn.

Эти организации успешно убеждают разработчиков устанавливать вредоносные скрипты под видом технических оценок.

Для сотрудников по соответствию и директоров по информационной безопасности задача изменилась. Традиционные протоколы Know Your Customer (KYC) ориентированы на клиента, но рабочий процесс Lazarus требует строгого стандарта «Знай своего сотрудника».

Министерство юстиции уже начало принимать меры, изъяв $7.74 миллионов, связанных с этими IT-схемами, однако задержка в обнаружении остается высокой.

Как показывает операция BCA LTD, единственный способ поймать таких акторов — перейти от пассивной защиты к активному обману, создавая контролируемые среды, которые вынуждают злоумышленников раскрывать свои методы до того, как им вручат ключи от казначейства.

Публикация Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team впервые появилась на CryptoSlate.