ZachXBT، محقق حوزه بلاکچین، یک عملیات پیشرفته مربوط به نیروهای IT کره شمالی را افشا کرده که از طریق موقعیت‌های شغلی توسعه‌دهنده از راه دور، به شرکت‌های فناوری غربی نفوذ کرده‌اند.

در گزارشی که در ۱۳ آگوست منتشر شد، او توضیح داد که یک منبع ناشناس توانسته دستگاه یکی از پنج کارمند IT کره شمالی را هک کند و به اطلاعات بی‌سابقه‌ای درباره روش‌های عملیاتی آن‌ها دست پیدا کند.

این تیم به‌طور سیستماتیک شماره‌های تأمین اجتماعی جعلی، حساب‌های Upwork و LinkedIn، شماره تلفن و حتی اجاره کامپیوتر را خریداری می‌کردند تا در پروژه‌های مختلف به‌عنوان توسعه‌دهنده استخدام شوند.

بررسی خروجی‌های Google Drive و پروفایل‌های مرورگر Chrome نشان داد که این کارمندان به‌طور گسترده از محصولات گوگل برای مدیریت برنامه‌ریزی تیمی، وظایف و بودجه استفاده کرده و بیشتر به زبان انگلیسی با یکدیگر ارتباط برقرار می‌کردند.

گزارش‌های هفتگی سال ۲۰۲۵ نشان داد که بعضی از اعضا در انجام وظایف مشکل داشتند. یکی از آن‌ها نوشته بود:

«من نمی‌توانم نیازمندی‌های شغل را درک کنم و نمی‌دانم چه کاری باید انجام دهم»
و در کنارش دستور داده شده بود که:
«با تمام دل و جان تلاش کن.»

روش‌های عملیاتی و ابزار مورد استفاده

کارکنان کره شمالی معمولاً یک الگوی ثابت را دنبال می‌کردند:

1. خرید حساب‌های Upwork و LinkedIn

2. خرید یا اجاره کامپیوتر

3. استفاده از نرم‌افزار AnyDesk برای دسترسی از راه دور و انجام کار برای کارفرما

در فایل‌های اکسل هزینه‌ها، خرید اشتراک سرویس‌های هوش مصنوعی، VPN، پراکسی و سایر ابزارها برای حفظ هویت جعلی ثبت شده بود.

برای هر هویت جعلی، برنامه جلسات و متن‌های از پیش آماده وجود داشت. نمونه‌ای از این هویت‌ها، فردی با نام Henry Zhang بود که یک داستان زندگی کامل و سابقه کاری جعلی داشت.

آن‌ها از یک آدرس کیف پول برای دریافت و ارسال پول استفاده می‌کردند که ZachXBT آن را به چندین عملیات کلاهبرداری مرتبط دانست. این آدرس به هک Favrr در ژوئن ۲۰۲۵ که ۶۸۰ هزار دلار خسارت داشت، وصل شد. در آن حمله مشخص شد مدیر فنی و چند توسعه‌دهنده Favrr نیز کارمندان IT کره شمالی با مدارک جعلی بودند.

ZachXBT همچنین مدیر فنی Favrr با نام «Alex Hong» را فردی با سابقه مشکوک معرفی کرد که پروفایل LinkedIn خود را اخیراً حذف کرده و سوابق کاری‌اش قابل تأیید نیست.

کم‌تخصص اما سرسخت

سابقه مرورگر دستگاه‌های هک‌شده نشان داد که این افراد به‌طور مکرر از Google Translate برای ترجمه کره‌ای استفاده می‌کردند، در حالی که از IPهای روسیه فعالیت می‌کردند.

این شواهد، منشأ کره شمالی آن‌ها را تأیید کرد، حتی با وجود آنکه از هویت‌های انگلیسی و ارتباطات حرفه‌ای استفاده می‌کردند.

ZachXBT گفت که بزرگ‌ترین چالش در مقابله با این کارمندان IT کره شمالی، کمبود همکاری بین سرویس‌ها و بخش خصوصی و بی‌توجهی تیم‌های استخدام است که وقتی درباره احتمال نفوذ به آن‌ها هشدار داده می‌شود، حالت دفاعی می‌گیرند.

درآمد حاصل از این کارها به رمزارز تبدیل و از طریق Payoneer منتقل می‌شود. به گفته محقق، «این افراد چندان پیشرفته نیستند اما چون تعدادشان زیاد است و بازار کار جهانی را پر کرده‌اند، بسیار سرسخت عمل می‌کنند.»

این افشاگری نشان می‌دهد که نفوذ کره شمالی به شرکت‌های فناوری غربی در مقیاس گسترده است و تیم لو رفته، تنها یکی از صدها گروه مشابه است که در پلتفرم‌های کاری از راه دور فعالیت دارند.