Переход на удалённый формат работы открыл для организаций новые векторы рисков, выходящие далеко за рамки классических кибератак. Одной из наиболее изощрённых и долгосрочных угроз стало проникновение в штат зарубежных компаний IT-специалистов, связанных с КНДР. Эти лица, действуя под фиктивными личностями с поддельными документами и биографиями, устраиваются на высокооплачиваемые должности удалённых разработчиков. Угроза носит комплексный характер: помимо рисков утечки данных и шпионажа, компании, нанявшие таких сотрудников, рискуют нарушить международные санкции ООН, США и Великобритании, что влечёт за собой серьёзные юридические и репутационные последствия. Недавнее расследование специалистов Group-IB пролило свет на масштабы и инфраструктуру этой многолетней кампании.
Описание
Угроза реализуется не через вредоносное ПО, а через модель доступа, основанную на социальной инженерии, операциях с синтетическими личностями и злоупотреблении доверием к платформам для поиска работы и фриланса. Аналитики Group-IB, отталкиваясь от ранее известных данных, выявили экосистему, которая оставалась активной как минимум с 2021 года по март 2026-го. Она охватывает не только GitLab, но и GitHub, персональные сайты-портфолио, инфраструктуру для фриланса и материалы для поддержки легенд. Ключевым открытием стало обнаружение архива с полным комплектом документов для синтетических личностей "Dominic Williams" и "Dejan Teofilovic", что даёт уникальное представление о том, как собираются, поддерживаются и передаются между операторами такие "пакеты" персонажей.
Расследование началось с электронной почты nicolas.edgardo1028@gmail[.]com, ранее связанной с активностью IT-работников из КНДР. Этот адрес привёл аналитиков к аккаунту cybersage14 на GitHub. В октябре 2023 года этот аккаунт представлял разработчика по имени Nicolas Sammaritano из Аргентины, а уже в мае 2024-го - Caddo Smith из США, при этом технический профиль и проекты оставались прежними. Это явный признак использования аккаунта как оболочки для сменяемых личностей. Исследование репозиториев показало взаимодействие нескольких связанных аккаунтов (caddoSmith229, daren1028), использовавших общие проекты, фотографии и шаблоны, что указывает на централизованное управление.
Особое значение имеет связь этой деятельности с попытками приобретения верифицированных аккаунтов на платформе Upwork ещё в 2021 году. Group-IB обнаружили на форумах даркнета, что контакт, связанный с исследуемой инфраструктурой, искал возможность купить такие аккаунты. Upwork является ключевой площадкой для операций северокорейских удалённых работников, используемой как для прямого трудоустройства под прикрытием, так и для схем с использованием так называемых "лэптоп-ферм". Другой важный аккаунт, up-pro (ранее mr-new-0509), вёл активность вплоть до 2026 года, выступая под именем Atsuo Koizumi, что демонстрирует долгосрочность операций.
Обнаруженный архив материалов для личностей Dominic Williams и Dejan Teofilovic стал наиболее ценным свидетельством организованности кампании. Помимо поддельных водительских прав, папки содержали детализированные наборы для поиска работы: списки сервисов (Gmail, AnyDesk, Payoneer, Wise, PayPal, LinkedIn, GitHub), доступы к банковским счетам, а также руководства и шаблоны для общения с работодателями. Аналитики нашли прямые свидетельства использования ChatGPT для генерации естественно звучащих ответов на английском языке. Шаблоны ответов были адаптивными: в одних случаях персонаж агрессивно продавал свои навыки как идеальное соответствие вакансии, в других - предлагал использовать готовую кодобазУ для ускорения разработки, если прямое соответствие было слабым. Некоторые шаблоны представляли исполнителя как целую компанию разработчиков для повышения доверия.
Этот случай демонстрирует, что угроза носит не точечный, а системный характер. Речь идёт не о нескольких мошеннических профилях, а об отлаженной операционной модели, способной одновременно поддерживать множество синтетических личностей. Уязвимость компаний заключается в доверии к репутационным платформам вроде GitHub и LinkedIn, а также в слабых процессах верификации при удалённом найме. Последствия найда такого "сотрудника" выходят за рамки киберрисков и включают в себя санкционные нарушения, что может привести к многомиллионным штрафам. Для противодействия необходим скоординированный подход отделов HR, финансовой службы и информационной безопасности, включающий обязательные видеособеседования, тщательную проверку документов, анализ цифровых следов кандидата и строгий контроль за платежами и доступом к корпоративным ресурсам.
Индикаторы компрометации
Domains
- atskoi.netlify.app
- caddo-portfolio.vercel.app
- caddo-smith.vercel.app
- chase-allen.netlify.app
- chules.vercel.app
- chules-git-main-mr-new-0509.vercel.app
- chules-mr-new-0509.vercel.app
- felix-moore.netlify.com
- healer1064.github.io
- jacob-rd.netlify.app
- leomasaki.vercel.app
- masculus.vercel.app
- naruhito-kaide.netlify.app
- portfolio-k8jev6vlb-dejan-teofilovics-projects.vercel.app
- robertlopez9216.github.io
- skydev-hub.github.io
- starmastar1126.github.io
- tech-veteran.onrender.com
- tech-veteran.vercel.app
- tommykallio.vercel.app
- william-gilbert.netlify.app
URLs
- https://github.com/Achilleus0612
- https://github.com/adminGit71
- https://github.com/aimachieve
- https://github.com/alchemist0404
- https://github.com/Blux61
- https://github.com/boldempha
- https://github.com/Bravodev88
- https://github.com/bremaster
- https://github.com/caddo229
- https://github.com/caddoSmith229
- https://github.com/chase-allen-tech
- https://github.com/cybersage14
- https://github.com/Dejan-Teofilovic
- https://github.com/deterrionc
- https://github.com/devking877
- https://github.com/fantasy1114
- https://github.com/freshtinygrow-crypto
- https://github.com/Gold-Dev726/
- https://github.com/harrycorfu
- https://github.com/healer1064/
- https://github.com/hermes1108
- https://github.com/Lyappunov
- https://github.com/masculus
- https://github.com/metacoffee0x17
- https://github.com/mr-new-0509
- https://github.com/naruhitokaide
- https://github.com/OlekSytn
- https://github.com/pioneer830
- https://github.com/sharkxhunter/
- https://github.com/Shiny0805/
- https://github.com/silivex
- https://github.com/Skydev-hub
- https://github.com/smart1206
- https://github.com/Smartdev0022
- https://github.com/superdev0527
- https://github.com/Talent0407
- https://github.com/tech-veteran71
- https://github.com/tommy725
- https://github.com/up-pro
- https://github.com/wissen-snake
Emails
- aaron.groenke111391@gmail.com
- aaron.groenke111391@outlook.com
- afteryou725@gmail.com
- aim1005achieve@gmail.com
- Bluxboy80@gmail.com
- bremaster0806@gmail.com
- bruno.jackson.dev@gmail.com
- caddo.caleb229@gmail.com
- caddo.smith0229@gmail.com
- chase.allen.tech@gmail.com
- cliffahleongtech@gmail.com
- cloudstrifeinfinite@gmail.com
- colleen.cl.hillyard@gmail.com
- daren.shamoun28@gmail.com
- dejanteofilovic2@gmail.com
- dejanteofilovicup@gmail.com
- dev@flosports.tv
- developer789222@gmail.com
- devking877@gmail.com
- devondeveloper99@gmail.com
- fantasy971114@gmail.com
- ferix.moore@gmail.com
- freshtinygrow@gmail.com
- geniusdev1108@gmail.com
- goldendev726@gmail.com
- jacob.rd.dev@gmail.com
- jacobbush211@gmail.com
- johnwadelinson@gmail.com
- koizatsuo@gmail.com
- liam.perrin.dev@outlook.com
- luckyman012357@gmail.com
- luckysmile0502@gmail.com
- lunadev823@gmail.com
- lyappunov19@outlook.com
- magnus.masculus971114@gmail.com
- masculus1114@gmail.com
- mateomuhannad@gmail.com
- maxwellreshel0709@outlook.com
- mr.new0509@gmail.com
- mykytafullstack@gmail.com
- naruhitokaide@gmail.com
- nektarioskampourakis571@gmail.com
- nicolas.edgardo1028@gmail.com
- oleksandr.sytnikov0413@gmail.com
- oliwerpalm@outlook.com
- progdev77@gmail.com
- proharvester@outlook.com
- raikovskyi830@gmail.com
- ranko746.dev@gmail.com
- ripaelit1111@gmail.com
- smartdev531@gmail.com
- starmastar1126@gmail.com
- superdev00527@gmail.com
- tech.veteran71@gmail.com
- ubiuquitosutrusty@gmail.com
- web.fan.0509@gmail.com
