کارکنان فناوری اطلاعات کره شمالی از بیش از ۳۰ شناسنامه جعلی برای هدف قرار دادن شرکتهای ارز دیجیتال استفاده کردهاند: گزارش.
یک دستگاه مخدوش متعلق به یک کارمند IT کره شمالی، روند کار تیم پشت هک 680,000 دلاری Favrr و استفاده آنها از ابزارهای گوگل برای هدف قرار دادن پروژههای ارز دیجیتال را افشا کرده است.
- یک دستگاه مخدوش متعلق به یک کارمند IT کره شمالی، روند کار تهدیدکنندگان را افشا کرد.
- شواهد نشان میدهد که عاملان از ابزارهای تحت حمایت گوگل، AnyDesk و VPNها برای نفوذ به شرکتهای ارز دیجیتال استفاده کردهاند.
به گفته زکاکسبیتی، این مسیر با یک منبع ناشناس آغاز شد که به یکی از رایانههای کارمندان دسترسی پیدا کرد و اسکرینشاتها، خروجیهای گوگل درایو و پروفایلهای کروم را کشف کرد که نحوه برنامهریزی و اجرای طرحهای عاملان را فاش کرد.
با استناد به فعالیتهای کیف پول و تطابق اثرانگشتهای دیجیتال، زکاکسبیتی منبع مواد را تأیید کرد و معاملات ارز دیجیتال گروه را به سوءاستفاده از بازار توکنهای طرفدار Favrr در ژوئن 2025 مرتبط کرد. یکی از آدرسهای کیف پول، “0x78e1a”، ارتباط مستقیم با وجوه سرقت شده از این حادثه را نشان میدهد.
درون عملیات
دستگاه مخدوش نشان داد که این تیم کوچک — در مجموع شش عضو — حداقل 31 هویت جعلی را به اشتراک گذاشتهاند. برای بهدست آوردن شغلهای توسعه بلاکچین، آنها مدارک شناسایی و شمارههای تلفن دولتی جمعآوری کردند و حتی حسابهای LinkedIn و Upwork را خریداری کردند تا پوشش خود را کامل کنند.
یک سناریو مصاحبه که در دستگاه پیدا شد، نشان داد که آنها به تجربیات خود در شرکتهای معروف بلاکچین، از جمله Polygon Labs، OpenSea و Chainlink میبالند.
ابزارهای گوگل در روند کار سازماندهیشده آنها مرکزی بودند. مشخص شد که تهدیدکنندگان از جدولهای محاسباتی گوگل برای پیگیری بودجهها و برنامهها استفاده میکردند، در حالی که گوگل ترنسلیت فاصله زبانی بین کرهای و انگلیسی را پر میکرد.
در میان اطلاعات کشفشده از دستگاه، یک جدول محاسباتی وجود داشت که نشان میداد کارمندان IT در حال اجاره کامپیوترها و پرداخت برای دسترسی به VPN به منظور خرید حسابهای جدید برای عملیات خود هستند.
تیم همچنین به ابزارهای دسترسی از راه دور مانند AnyDesk تکیه داشت، که به آنها اجازه میداد سیستمهای مشتری را بدون افشای مکان واقعی خود کنترل کنند. لاگهای VPN فعالیت آنها را به مناطق مختلفی مرتبط کردند و آدرسهای IP کره شمالی را مخفی کردند.
یافتههای اضافی نشان داد که گروه به دنبال روشهایی برای توزیع توکنها در بلاکچینهای مختلف، جستجوی شرکتهای هوش مصنوعی در اروپا و ترسیم اهداف جدید در فضای ارز دیجیتال بودند.
عاملان تهدید کره شمالی از مشاغل دورکاری استفاده میکنند
زکاکسبیتی الگوی مشابهی را در چندین گزارش امنیت سایبری شناسایی کرد — کارمندان IT کره شمالی مشاغل دورکاری قانونی پیدا میکنند تا به بخش ارز دیجیتال ورود کنند. با نقشآفرینی به عنوان توسعهدهندگان آزاد، آنها به مخازن کد، سیستمهای backend و زیرساخت کیف پول دسترسی پیدا میکنند.
یک سند پیدا شده در دستگاه شامل یادداشتهای مصاحبه و مواد آمادهسازی بود که به احتمال زیاد برای نگهداری در صفحه نمایش یا در نزدیکی آن هنگام تماس با کارفرمایان بالقوه طراحی شده بود.
