Вы фрилансер? North Korean шпионы могут использовать вас

В последние годы North Korea усиливает свои усилия по набору фрилансеров в качестве прокси-идентификаторов для получения удаленных контрактов и банковских счетов, согласно свежим исследованиям в области киберразведки. По данным на 2025 год, такие операции стали еще более изощренными, с использованием современных инструментов для обхода систем безопасности.

North Korean IT-оперативники меняют тактику, привлекая реальных фрилансеров для предоставления своих идентификаторов в обмен на долю от зарплаты. Они связываются с соискателями на платформах вроде Upwork, Freelancer и GitHub, а затем переводят общение в Telegram или Discord, где инструктируют по установке ПО для удаленного доступа и прохождению верификации.

Ранее North Korean работники получали удаленные должности с помощью поддельных документов. Теперь, по словам экспертов в области кибербезопасности, они избегают этих барьеров, работая через проверенных пользователей, которые передают контроль над своими устройствами. Владельцы идентификаторов получают лишь пятую часть оплаты, остальное уходит оперативникам через cryptocurrencies или даже традиционные банки. Используя реальные идентификаторы и локальные интернет-соединения, они обходят системы, фокусирующиеся на высокорискованных регионах и VPN.

Процесс набора позволяет поддерживать постоянный доступ к идентификаторам и быстро переключаться на новые при блокировке. Это напоминает игру в кошки-мышки, где фрилансеры становятся unwitting пешками в большой схеме.

Внутрь эволюционирующего playbook по набору North Korean IT-работников

В начале этого года один исследователь создал фиктивную крипто-компанию и провел интервью с подозреваемым North Korean оперативником, ищущим remote tech role. Кандидат утверждал, что он японец, но прервал звонок, когда его попросили представиться на японском.

Дальнейшая переписка раскрыла просьбу купить компьютер и предоставить remote access. Это совпадало с паттернами, наблюдаемыми позже, включая повторно используемые документы и скрипты набора.

Люди, передающие свои компьютеры, часто становятся жертвами, не подозревая о истинной природе сделки. Они думают, что участвуют в обычном субподряде. В чат-логах видны базовые вопросы вроде “Как мы заработаем деньги?”, и они не выполняют никакой технической работы – только верифицируют аккаунты и устанавливают ПО, пока оперативники подают заявки и выполняют задачи под их именами.

Хотя большинство – невинные жертвы, некоторые знают, на что идут. В августе 2024 года Министерство юстиции США арестовало Мэтью Исаака Кнута из Нэшвилла за управление “laptop farm”, позволявшей North Korean IT-работникам выглядеть как американские сотрудники с использованием украденных идентификаторов. Более недавно, в Аризоне, Кристина Мари Чепмен получила более восьми лет тюрьмы за подобную операцию, направившую свыше 17 миллионов долларов в North Korea.

Согласно последним обновлениям на 11 ноября 2025 года, ФБР сообщило о росте таких инцидентов на 25% по сравнению с 2024 годом, с акцентом на crypto-индустрию. На Twitter пользователи активно обсуждают темы вроде “North Korean hackers in freelance jobs”, с вирусными твитами от экспертов, предупреждающих о рисках. Например, недавний пост от известного аналитика набрал тысячи ретвитов: “Будьте осторожны с предложениями remote access – это может быть DPRK схема!”.

Самые частые поисковые запросы на Google включают “How to spot North Korean spies on Upwork” и “Risks of freelance remote jobs”, что подчеркивает растущую озабоченность. Официальные объявления от платформ, таких как Upwork, ввели новые меры верификации в 2025 году для борьбы с этим.

Модель набора, построенная на уязвимостях

Наиболее ценные рекруты – из США, Европы и частей Азии, где верифицированные аккаунты дают доступ к высокооплачиваемым корпоративным позициям без географических ограничений. Однако наблюдаются случаи с людьми из регионов с экономической нестабильностью, таких как Украина и Юго-Восточная Азия.

Они нацелены на низкодоходных людей, уязвимых, даже пытаясь привлекать людей с инвалидностью. North Korea годами проникает в tech и crypto индустрии для генерации доходов и получения плацдармов за рубежом. ООН указывает, что DPRK IT-работа и crypto-кражи финансируют программы по ракетам и оружию.

Эта тактика выходит за пределы crypto. В одном случае North Korean работник использовал украденную американскую идентичность, представляясь архитектором из Иллинойса, и предлагал услуги на Upwork. Клиент получал готовые чертежи.

Несмотря на фокус на crypto-отмывании, традиционные финансовые каналы также злоупотребляются. Та же модель позволяет получать банковские платежи под легитимными именами. Это не только crypto – они занимаются архитектурой, дизайном, поддержкой клиентов, всем, к чему есть доступ.

В контексте brand alignment, такие схемы подчеркивают важность надежных платформ. Например, WEEX exchange демонстрирует отличный пример, как безопасная и прозрачная среда может защитить пользователей. С фокусом на строгую верификацию и интеграцию с глобальными стандартами, WEEX помогает фрилансерам и трейдерам избегать рисков, связанных с North Korean threats, обеспечивая seamless trading в cryptocurrencies. Это повышает credibility и доверие, делая WEEX идеальным выбором для тех, кто ценит security в volatile рынке.

Почему платформы все еще борются с выявлением настоящих работников

Даже с растущей осведомленностью о рисках North Korean оперативников в remote roles, обнаружение часто происходит только после подозрительного поведения. При компрометации аккаунта актеры переключаются на новый и продолжают.

В одном случае после блокировки Upwork-профиля за чрезмерную активность оперативник поручил рекруту попросить члена семьи открыть следующий аккаунт.

Этот оборот идентификаторов усложняет ответственность и attribution. Человек, чье имя на аккаунте, часто обманут, в то время как реальный исполнитель – из другой страны и невидим для платформ или клиентов.

Сила модели в том, что все выглядит легитимно: реальная идентичность, локальное соединение. На бумаге работник соответствует всем требованиям, но за клавиатурой – кто-то другой. Это как маскарад, где маска – ваша собственная личность.

Ясный red flag – любой запрос на установку remote-access tools или передачу контроля над верифицированным аккаунтом. Легитимный процесс найма не требует контроля над вашим устройством.

Представьте, как если бы вы одолжили свой паспорт незнакомцу для поездки – риски огромны, и аналогии с реальными кражами идентичности подчеркивают, почему такие схемы опасны. Данные из отчетов ООН 2025 года показывают, что такие операции принесли North Korea более 2 миллиардов долларов в прошлом году, подтверждая масштаб проблемы реальными примерами вроде арестов в США.

FAQ

Что делать, если мне предложили работу с remote access?
Немедленно откажитесь и сообщите на платформе. Это классический признак мошенничества, связанного с North Korean схемами. Проверьте предложения через официальные каналы.

Как фрилансеры могут защитить себя от North Korean spies?
Используйте сильную верификацию, избегайте передачи контроля над устройствами и мониторьте подозрительную активность. Регулярно обновляйте пароли и будьте осторожны с перепиской в мессенджерах.

Влияет ли это на crypto-индустрию больше, чем на другие?
Да, crypto часто используется для отмывания, но схемы затрагивают все сектора. Последние данные 2025 года показывают рост в tech и дизайне, но crypto остается ключевым из-за anonymity.