آیا شما یک freelancer هستید؟ North Korean spies ممکن است از شما استفاده کنند

نکات کلیدی

• North Korea از freelancerها به عنوان هویت‌های واسطه برای کسب قراردادهای remote و حساب‌های بانکی استفاده می‌کند، بر اساس تحقیقات جدید cyber intelligence.
• IT operatives شمال کره استراتژی‌های خود را تغییر داده و از کاربران واقعی برای دور زدن محدودیت‌های جغرافیایی و VPNها بهره می‌برند.
• افراد واقعی تنها یک پنجم دستمزد را دریافت می‌کنند، در حالی که بقیه وجوه از طریق cryptocurrencies یا حساب‌های بانکی سنتی به operatives هدایت می‌شود.
• این روش بر روی افراد آسیب‌پذیر مانند کسانی در مناطق با ناپایداری اقتصادی تمرکز دارد و حتی به افراد دارای معلولیت هم رسیده است.
• پلتفرم‌هایی مانند Upwork و Freelancer هنوز در شناسایی این فعالیت‌ها مشکل دارند، زیرا هویت‌ها واقعی به نظر می‌رسند.

در دنیای پرسرعت freelancing امروز، جایی که فرصت‌های remote jobs بیش از همیشه در دسترس هستند، یک تهدید پنهان در حال شکل‌گیری است. تصور کنید که به عنوان یک freelancer، پیشنهادی جذاب برای کار از راه دور دریافت می‌کنید، اما بدون اینکه بدانید، ممکن است بخشی از یک عملیات جاسوسی North Korean باشید. این داستان نه تنها هیجان‌انگیز است، بلکه هشداری واقعی برای همه کسانی که در پلتفرم‌هایی مانند Upwork، Freelancer یا GitHub فعالیت می‌کنند. بر اساس تحقیقات اخیر در زمینه cyber intelligence، North Korea در حال استخدام افراد معمولی برای استفاده از هویت‌هایشان در کسب قراردادهای پردرآمد است. این operatives نه تنها به دنبال درآمدزایی هستند، بلکه از این روش برای نفوذ به صنایع tech و crypto استفاده می‌کنند. بیایید عمیق‌تر به این موضوع بپردازیم و ببینیم چگونه این اتفاق می‌افتد، و البته، چگونه می‌توانید خود را در امان نگه دارید – به ویژه اگر در حوزه crypto فعالیت می‌کنید، جایی که پلتفرم‌هایی مانند WEEX با تمرکز بر امنیت بالا، می‌توانند الگویی برای حفاظت باشند.

تغییر استراتژی‌های IT operatives شمال کره

North Korea همیشه به عنوان یک بازیگر ماهر در فضای سایبری شناخته شده است، اما حالا آنها رویکرد خود را به روز کرده‌اند. در گذشته، IT operatives این کشور با استفاده از هویت‌های جعلی برای کسب remote gigs تلاش می‌کردند، اما حالا آنها به سراغ freelancerهای واقعی می‌روند. این تغییر شبیه به این است که یک سارق به جای شکستن قفل در، کلید را از صاحبخانه قرض بگیرد. طبق گفته Heiner García، کارشناس cyber threat intelligence و محقق امنیت blockchain، این operatives با افراد در پلتفرم‌هایی مانند Upwork، Freelancer و GitHub تماس می‌گیرند و سپس گفتگو را به Telegram یا Discord منتقل می‌کنند.在那里، آنها افراد را راهنمایی می‌کنند تا نرم‌افزارهای remote access را نصب کنند و فرآیندهای تأیید هویت را پشت سر بگذارند.

این روش هوشمندانه است زیرا از هویت‌های واقعی و اتصالات اینترنتی محلی استفاده می‌کند، که سیستم‌های تشخیص ریسک جغرافیایی و VPNها را دور می‌زند. افراد واقعی – که اغلب victims ناخواسته هستند – تنها یک پنجم از دستمزد را دریافت می‌کنند، در حالی که بقیه وجوه از طریق cryptocurrencies یا حتی حساب‌های بانکی سنتی به operatives منتقل می‌شود. این مدل اجازه می‌دهد تا دسترسی مداوم به هویت‌ها حفظ شود و در صورت شناسایی، به هویت جدیدی منتقل شوند. برای مثال، در تحقیقات García، او یک شرکت crypto جعلی راه‌اندازی کرد و با یک suspect North Korean operative مصاحبه کرد. این فرد ادعا کرد ژاپنی است، اما وقتی از او خواسته شد به زبان ژاپنی صحبت کند، تماس را قطع کرد. این داستان واقعی نشان می‌دهد چگونه این عملیات با دقت برنامه‌ریزی شده‌اند.

در مقایسه با روش‌های قدیمی، این رویکرد جدید بسیار کارآمدتر است. به جای ریسک استفاده از IDs جعلی، آنها از افراد واقعی بهره می‌برند که فکر می‌کنند در یک قرارداد subcontracting معمولی شرکت دارند. اما واقعیت این است که آنها هیچ کار فنی انجام نمی‌دهند؛ فقط حساب‌ها را تأیید می‌کنند، نرم‌افزار را نصب می‌کنند و دستگاه را آنلاین نگه می‌دارند، در حالی که operatives واقعی کار را انجام می‌دهند، با مشتریان صحبت می‌کنند و پروژه‌ها را تحویل می‌دهند.

داخل کتابچه راهنمای استخدام در حال تکامل North Korean IT workers

برای درک بهتر، بیایید به یک مورد واقعی نگاه کنیم. اوایل امسال، García با Cointelegraph همکاری کرد و با یک operative مشکوک مصاحبه کرد. این فرد درخواست کرد که یک کامپیوتر خریداری شود و دسترسی remote فراهم شود – الگویی که در موارد دیگر نیز تکرار شده است. شواهد شامل ارائه‌های onboarding، اسکریپت‌های استخدام و اسناد هویتی است که بارها reuse می‌شوند. García به Cointelegraph گفت: “این افراد که کامپیوترهایشان را تحویل می‌دهند، victims هستند. آنها آگاه نیستند و فکر می‌کنند در یک arrangement subcontracting معمولی شرکت دارند.”

در چت‌لاگ‌هایی که بررسی شده، recruits سؤال‌های ساده‌ای مانند “چگونه پول درمی‌آوریم؟” می‌پرسند و هیچ کار فنی انجام نمی‌دهند. با این حال، برخی افراد آگاهانه درگیر هستند. برای مثال، در آگوست 2024، وزارت دادگستری ایالات متحده Matthew Isaac Knoot از Nashville را به دلیل راه‌اندازی یک “laptop farm” دستگیر کرد که به North Korean IT workers اجازه می‌داد به عنوان کارکنان مبتنی بر ایالات متحده ظاهر شوند، با استفاده از هویت‌های دزدیده‌شده. اخیراً در آریزونا، Christina Marie Chapman به بیش از هشت سال زندان محکوم شد برای میزبانی عملیاتی مشابه که بیش از 17 میلیون دلار به North Korea هدایت کرد.

این موارد نشان‌دهنده آن است که این عملیات نه تنها در crypto محدود نمی‌شود، بلکه به صنایع مختلفی مانند معماری، طراحی و پشتیبانی مشتری گسترش یافته است. در یک مورد، یک worker DPRK از هویت دزدیده‌شده ایالات متحده برای پیشنهاد پروژه‌های ساختمانی در Upwork استفاده کرد و کار drafting را تحویل داد. این تنوع نشان می‌دهد که تهدید فراتر از blockchain است، اما در حوزه crypto، جایی که امنیت حیاتی است، پلتفرم‌هایی مانند WEEX با سیستم‌های پیشرفته تشخیص fraud، می‌توانند به عنوان یک پناهگاه امن عمل کنند و از کاربران در برابر چنین نفوذهایی حفاظت کنند.

مدلی استخدامی بر پایه آسیب‌پذیری

این عملیات بر روی افراد آسیب‌پذیر تمرکز دارد، شبیه به اینکه یک شکارچی ضعیف‌ترین عضو گله را هدف بگیرد. recruits ایده‌آل در ایالات متحده، اروپا و برخی قسمت‌های آسیا هستند، جایی که حساب‌های verified دسترسی به شغل‌های با ارزش بالا را فراهم می‌کند. اما García اسنادی از مناطق با ناپایداری اقتصادی مانند اوکراین و جنوب شرقی آسیا مشاهده کرده است. او می‌گوید: “آنها افراد کم‌درآمد را هدف قرار می‌دهند. افراد آسیب‌پذیر را هدف می‌گیرند. حتی دیدم که سعی می‌کنند به افراد دارای disabilities برسند.”

North Korea سال‌ها است که در صنایع tech و crypto نفوذ می‌کند تا درآمدزایی کند و جایگاه‌هایی در خارج به دست آورد. سازمان ملل متحد گزارش داده که کار IT DPRK و سرقت crypto ظاهراً بودجه برنامه‌های missile و weapons این کشور را تأمین می‌کند. این تاکتیک فراتر از crypto می‌رود؛ در موارد بررسی‌شده، کانال‌های مالی سنتی نیز مورد سوءاستفاده قرار می‌گیرند. مدل هویت-proxy اجازه می‌دهد تا پرداخت‌های بانکی تحت نام‌های legitimate دریافت شود. García تأکید می‌کند: “این فقط crypto نیست. آنها هر چیزی انجام می‌دهند – معماری، طراحی، پشتیبانی مشتری، هر چیزی که بتوانند دسترسی پیدا کنند.”

برای افزودن به این بحث، بیایید به جستجوهای پرتکرار در Google نگاه کنیم. سؤال‌هایی مانند “چگونه از جاسوسی North Korean در freelancing جلوگیری کنیم؟” یا “آیا remote jobs امن هستند؟” در سال 2025 بسیار جستجو شده‌اند، به ویژه پس از گزارش‌های اخیر. در Twitter، موضوعاتی مانند #NorthKoreanHackers و #FreelancerScams ترند شده‌اند، با پست‌هایی که کاربران تجربیات خود را به اشتراک می‌گذارند. برای مثال، یک توییت رسمی از FBI در نوامبر 2025 (تا تاریخ 2025-11-11) هشدار داد که فعالیت‌های North Korean در حال افزایش است و توصیه کرد freelancerها از نصب نرم‌افزارهای مشکوک اجتناب کنند. همچنین، بحث‌هایی در مورد نقش پلتفرم‌های secure مانند WEEX در جلوگیری از laundering از طریق crypto وجود دارد، جایی که این پلتفرم با ابزارهای پیشرفته KYC، اعتبار خود را تقویت کرده است.

چرا پلتفرم‌ها هنوز در شناسایی کارگران واقعی مشکل دارند

حتی با افزایش آگاهی تیم‌های استخدام در مورد ریسک North Korean operatives در نقش‌های remote، تشخیص اغلب پس از بروز رفتارهای غیرعادی اتفاق می‌افتد. وقتی یک حساب compromised می‌شود، actors به هویت جدیدی pivot می‌کنند و کار را ادامه می‌دهند. در یک مورد، پس از تعلیق یک پروفایل Upwork به دلیل فعالیت بیش از حد، operative به recruit دستور داد تا از یک عضو خانواده برای باز کردن حساب بعدی استفاده کند.

این چرخش هویت‌ها attribution و accountability را دشوار می‌کند. فرد واقعی اغلب فریب خورده است، در حالی که شخص واقعی پشت کیبورد در کشور دیگری عمل می‌کند و هرگز مستقیماً برای پلتفرم‌ها یا مشتریان قابل مشاهده نیست. قدرت این مدل در این است که همه چیز برای سیستم‌های compliance legitimate به نظر می‌رسد: هویت واقعی است و اتصال اینترنتی محلی. روی کاغذ، worker همه الزامات را برآورده می‌کند، اما فرد پشت کیبورد کاملاً متفاوت است.

García می‌گوید واضح‌ترین red flag درخواست برای نصب ابزارهای remote-access یا اجازه “کار” از حساب verified شماست. یک فرآیند استخدام legitimate نیازی به کنترل دستگاه یا هویت شما ندارد. در دنیای crypto، جایی که چنین تهدیدهایی شایع است، انتخاب پلتفرم‌هایی مانند WEEX که بر brand alignment با امنیت و شفافیت تمرکز دارند، می‌تواند تفاوت ایجاد کند. WEEX نه تنها از کاربران در برابر fraud حفاظت می‌کند، بلکه با به‌روزرسانی‌های مداوم، credibility خود را در بازار افزایش می‌دهد.

به‌روزرسانی‌های اخیر و بحث‌های داغ

تا تاریخ 2025-11-11، گزارش‌های جدیدی از افزایش فعالیت‌های North Korean در حوزه freelancing منتشر شده است. در Twitter، پست‌هایی با هشتگ #CyberThreatsNorthKorea بیش از 10,000 بار بازت