Ogromne oszustwo zorganizowane przez Pjongjang uderza w GitHub, Upwork i Freelancer

Północnokoreańscy hakerzy już wykradli miliony w bitcoin i ether, stając się jednym z największych koszmarów społeczności kryptowalutowej. Budzą strach, są ścigani, przeklinani, a mimo to wymykają się każdej sieci. Ostatnio jednak nie tylko kradną: rekrutują, organizują, infiltrują i strukturyzują. GitHub, Upwork, Freelancer… wszystkie platformy stały się terenami łowieckimi. A to, na co teraz polują, to już nie tylko wielka wygrana, ale sama struktura zdecentralizowanej gospodarki.

Gdy rekruterzy AI i fałszywe profile zalewają platformy technologiczne

W 2024 roku Pjongjang, który ma ponad 60 deweloperów na platformach kryptowalutowych, zrobił kolejny krok w swojej cyfrowej wojnie. Hakerzy reżimu już nie tylko aplikują na oferty: oni je tworzą. Na Upwork, Freelancer czy GitHub publikują ogłoszenia mające zwabić deweloperów specjalizujących się w kryptowalutach. Za tymi pozornie zwykłymi ofertami kryje się dobrze przemyślany plan: kandydat jest zapraszany do pobrania projektu hostowanego na GitHub, który ma służyć jako test techniczny. Kod zawiera złośliwe oprogramowanie, często typu BeaverTail.

Sposób działania północnokoreańskich hakerów – Źródło: Security Alliance

Aby te pułapki były niewykrywalne, północnokoreańscy agenci używają AI do generowania twarzy, fałszowania głosów i produkcji ultra-wiarygodnych dokumentów urzędowych. Wykorzystują zaawansowane narzędzia do ulepszania plików tożsamości, przerabiania zdjęć i modyfikowania głosów, by oszukać systemy weryfikacyjne. 

Nic nie jest pozostawione przypadkowi: wygląd, dźwięk, szczegóły administracyjne są zoptymalizowane, by przejść kontrole bez wzbudzania najmniejszych podejrzeń.

Wymagaj przeprowadzenia na żywo interaktywnej rozmowy wideo podczas procesu rekrutacji, aby upewnić się, że wygląd kandydata odpowiada zdjęciu profilowemu i przesłanym dokumentom (często skradzionym lub wygenerowanym przez AI).

Heiner García Pérez, członek SEAL Intel

Te fałszywe profile stają się prawdziwymi końmi trojańskimi. System KYC na platformach przestaje być barierą, a staje się narzędziem kamuflażu. To wojna pozorów, w której północnokoreański reżim prowadzi taniec.

Inżynieria społeczna i wykorzystywanie ludzi: rekruterzy z cyfrowym uśmiechem

Północnokoreańska przebiegłość nie kończy się na narzędziach. Opiera się na ludzkich słabościach. Agenci Pjongjangu celują w osoby podatne: samotnych freelancerów, Ukraińców w kryzysie, kobiety szukające niezależności finansowej. Na forach takich jak InterPals czy AbleHere podejście zawsze zaczyna się łagodnie: przyjazna rozmowa, obietnica zarobku, szybki test.

Potem zaczyna się spirala: dokumenty tożsamości, oprogramowanie typu AnyDesk, przejęcie konta freelancera. „Zrekrutowani” stają się przykrywkami. Podział jest jasny: 20% dla nich, 80% dla operatora.

Przykład wiadomości widzianych na Interpals – Źródło: Security Alliance

Wewnętrzny dokument znaleziony w plikach hakera wskazuje na niemal wojskową organizację: skrypty kontaktowe, procedury wdrożeniowe, wyjaśniający PowerPoint. Oszustwo staje się cyfrowym biznesem podwykonawczym.

Społeczność kryptowalutowa, opierająca się na decentralizacji, jest idealną ofiarą. Portfele cyfrowe są dostępne, freelancerów kryptowalutowych jest wielu, tożsamości krążą.

Za tym systemem kryje się mrożąca krew w żyłach prawda: Pjongjang wykorzystuje ludzi, by oszukiwać innych. A wszystko to pod przyjazną, życzliwą, niemal ujmującą maską.

Nieprzejrzyste sieci, krypto i AI: biznesplan Pjongjangu

To, co stworzyła Korea Północna, to plan przemysłowy. Płatności przechodzą przez platformy freelancerskie na konta bankowe lub portfele kryptowalutowe należące do „pośredników”. Następnie środki są repatriowane w formie kryptoaktywów do Pjongjangu lub jego wspólników.

AI nadal odgrywa tu rolę: generowane profile, symulowane historie aktywności, fałszywe rozmowy na Zoomie do weryfikacji tożsamości. Rekruterzy czasem proszą współpracowników o zaangażowanie swojego otoczenia, tworząc trudną do prześledzenia sieć piramidową.

Sfera kryptowalut staje się idealnym kanałem dla tych niewidzialnych przepływów: bez banku, bez regulatora, bez celników.

Wizualne podsumowanie kluczowych faktów:

• Ponad 300 deweloperów na celowniku od 2024 roku;
• Płatność rozdzielana według zasady: 80% operator / 20% pośrednik;
• Infiltracja platform: Upwork, Freelancer, GitHub…;
• Masowe wykorzystanie AI do kradzieży tożsamości; 
• Powszechne złośliwe oprogramowanie: BeaverTail, InvisibleFerret.

Ten model działa, ponieważ łączy technologię i manipulację psychologiczną, z niezwykłą skutecznością. Platformy, często przytłoczone, mają trudności z blokowaniem tych kont, które pojawiają się pod innymi nazwami, innymi twarzami.

Północnokoreańscy hakerzy wykrwawili świat kryptowalut w 2024 roku. Przy 1.3 billions dolarów wykradzionych, ustanowili rekordowy rok. Ich strategia ewoluuje. Ich siła również. Jak daleko się posuną?