Главная страница » Индикаторы компрометации
0
21 час
Индикаторы компрометации

Исследователи раскрыли инфраструктуру фальшивых IT-работников из КНДР

information security

В последние годы проблема проникновения северокорейских специалистов в международные IT-компании под чужими именами приобрела угрожающие масштабы. Речь идёт о тысячах высококвалифицированных программистов, которые, по данным разведок разных стран, работают удалённо из КНДР или стран-транзитёров, используя краденые или арендованные документы. Заработанные средства уходят на финансирование ракетной и ядерной программ Пхеньяна. Новое независимое расследование позволило детально восстановить сетевую инфраструктуру, которую применяют такие подставные сотрудники, и выявило тактики, позволяющие им годами оставаться незамеченными.

Описание

Отправной точкой стала публикация известного криптовалютного детектива ZachXBT, который ранее не раз выявлял каналы отмывания цифровых активов, связанные с Северной Кореей. Исследователь обнаружил домен luckyguys[.]site, использовавшийся для получения платежей фальшивыми IT-сотрудниками. В ходе последующего анализа 30-дневной сетевой активности по IP-адресу 163.245.219[.]19, на который указывал этот домен, специалисты из сферы киберразведки получили чёткую картину поведения угрозы.

Анализ подключений к выявленному узлу продемонстрировал необычайно концентрированное использование VPN-сервисов. Почти 38% всего трафика шло через Astrill VPN, ещё 32% - через Mullvad, а Proton VPN занимал чуть более 6%. Примечательно, что Astrill ранее уже фигурировал в отчётах GitLab и Flare.io как сервис, излюбленный северокорейскими IT-специалистами. Сразу после публичного разоблачения 8 апреля текущего года активность на этом IP-адресе резко упала - типичная реакция злоумышленников на потерю анонимности, когда инфраструктура мгновенно покидается.

Особый интерес представляет анализ жилых IP-адресов, которые в течение изучаемого периода связывались с этим узлом. Речь идёт о сетевых адресах, закреплённых за реальными абонентами в США и Латвии. Детальное исследование сетевого трафика показало, что эти IP-адреса часто использовали тот же Astrill VPN, а также обращались к облачным сервисам Gmail, ChatGPT и платформе для фрилансеров Workana. Использование ChatGPT соответствует недавним находкам компании Group-IB, которая сообщала, что IT-работники из КНДР активно применяют языковые модели для написания кода и имитации переписки с работодателем.

Платформа Workana, ориентированная на поиск удалённых специалистов, занимает особое место в этой схеме. Предыдущее исследование компании Nisos документально подтвердило, что операторы, связанные с КНДР, создают на таких ресурсах подставные профили, чтобы получать заказы на разработку под вымышленными именами. В сетевом трафике анализируемой инфраструктуры Workana упоминалась многократно, что указывает на системный характер вербовки через этот канал.

Дополнительный анализ сертификатов X.509 (стандарт цифровых удостоверений для защиты соединений) с именем luckyguys[.]site выявил ещё один IP-адрес - 216.158.225[.]144, который ранее не фигурировал в открытых отчётах. На этом адресе также наблюдалось резкое падение трафика после публикации ZachXBT - поведение, идентичное первому узлу. Таким образом, злоумышленники одновременно использовали как минимум две точки входа и мгновенно отказались от обеих после потери скрытности.

Совокупность собранных данных - распределённая сеть жилых IP, высокая доля конкретных VPN-провайдеров, активность на фриланс-платформах и быстрое сворачивание инфраструктуры - позволяет с высокой уверенностью утверждать, что перед нами типичная для северокорейских подставных работников тактика. Речь идёт о домашних системах, которые могут быть организованы в так называемые "фермы ноутбуков", где несколько сотрудников физически находятся на территории КНДР или прикрытия, а маршрутизация трафика имитирует работу из других стран. Это полноценный механизм обхода международных санкций.

Для организаций, нанимающих удалённых разработчиков, полученные результаты имеют прямое практическое значение. Жилые IP-адреса, которые часто считаются более доверенными, чем дата-центровые, могут оказаться частью прокси-сетей. Пересечение VPN-сервисов - особенно если сотрудник использует Astrill или Mullvad одновременно с доступом к ChatGPT и Workana - должно рассматриваться как сигнал повышенного риска. Мониторинг поведенческих паттернов, а не только фиксированных индикаторов компрометации, становится критически важным. Компаниям рекомендуется проверить корпоративную сетевую активность на предмет соединений с IP-адресами 216.158.225.144 и 163.245.219.19, а также обращать особое внимание на жилые адреса, проявляющие признаки работы прокси-серверов, например линии аренды прокси. Своевременное обнаружение такой инфраструктуры способно предотвратить не только финансовые потери, но и серьёзные репутационные риски, связанные с непреднамеренным пособничеством режиму, находящемуся под санкциями ООН.

Индикаторы компрометации

IPv4

  • 163.245.219.19
  • 216.158.225.144

Domains

  • luckyguys.site

Комментарии: 0
Похожие записи
0
01.08.2024
Индикаторы компрометации

Злоумышленники используют ИИ-брендинг Sora для распространения вредоносного ПО

phishing
Компания OpenAI недавно представила свою передовую модель искусственного интеллекта Sora, которая обещает революционизировать создание контента. Однако, несмотря на то, что Sora еще не выпущена официально
0
19.12.2025
Индикаторы компрометации

Уязвимость Next.js используется для создания ботнета и скрытого майнинга

information security
Исследователи из группы Red Raindrop Центра угрозой разведки компании Qi An Xin зафиксировали активную эксплуатацию недавно раскрытой критической уязвимости в фреймворке Next.
0
30.12.2025
Индикаторы компрометации

Новая кампания SideWinder APT маскируется под Налоговый департамент Индии для шпионажа

APT
Эксперты по киберразведке Zscaler Threat Hunting выявили сложную кампанию цифрового шпионажа, нацеленную на организации в Индии. Злоумышленники выдают себя за Налоговый департамент страны.