1 месяц

Утечка данных выявила тактику северокорейских IT-специалистов, маскирующихся под фрилансеров

Анализ двух масштабных утечек электронной почты, опубликованных в Twitter 13-14 августа, выявил системные методы, используемые IT-специалистами из КНДР для получения удалённой работы в зарубежных компаниях. Согласно исследованию, эти работники действуют под псевдоидентичностями, а их заработок направляется на финансирование ракетных программ Северной Кореи. Группа, отслеживаемая Microsoft под кодовым именем Jasper Sleet, сосредоточена на проникновении в компании секторов DApp, Web3, блокчейна и криптовалют.

Описание

Ключевые индикаторы в электронной почте

Утечка 1389 email-адресов через платформу GoFile (подтверждённая частичным совпадением с данными операции Europol Endgame 2.0) выявила характерные шаблоны:

1. Доминирование Gmail и приватных сервисов: 1175 адресов зарегистрированы на Gmail, несмотря на усиленную защиту: двухфакторную аутентификацию, Google Authenticator и резервные почты. Второе место занимает шифрованный сервис Skiff, за ним следуют Madeforthat, Gufum и другие временные или анонимные почтовые домены (29 из 63). Примеры включают [email protected] с резервным адресом [email protected] - оба фигурируют в утечке.

2. Паттерны именования:

Даты рождения: 11 адресов содержат комбинации вида "ivanyanhrach1995" или "tigerion.1993", указывая на условный возраст 23-36 лет (хотя достоверность данных сомнительна).
Животные и мифология: Широко используются названия животных ("Dragon" - 14 случаев, "Tiger", "Lion"), цвета ("goldlion0819", "blueapple9943"), термины разработки ("dev", "coder", "software") и имена греческих богов ("Apollo", "Hercules").
Славянские фамилии: Для маскировки применяются фамилии вроде Morozov, Fedoro или Chow.

Компрометация данных и риски

Проверка через Have I Been Pwned (HIBP) показала, что все адреса уже фигурировали в утечках:

CutOut Pro (февраль 2024 г.), где раскрылись пароли и IP-адреса;
ALIEN TXTBASE (284 млн email, февраль 2025 г.);
Operation Endgame 2.0, Cointracker, Z-library.

Расшифровка паролей выявила критически слабые комбинации: "123qwe!@#QWE" (9 случаев), "11111111", "asdasdasd", "123123". Особый интерес представляют "Xiah" (6 повторов) и "Jay231" - последний отсутствует в базах HIBP.

Подтверждение тактик через вторую утечку

Данные, опубликованные аналитиком ZachXBT 13 августа, содержат 28 новых адресов с идентичными паттернами, подтверждая системность операции. Дополнительные находки включают:

Финансовые отчёты о покупке SSN-номеров, аккаунтов Upwork/LinkedIn, VPN-сервисов (IPRoyal) и аренде ПК;
Использование Octo Browser, AnyDesk и Deepfake-инструмента FaceSwap для собеседований;
Переводы с кошелька Ethereum: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Целевые компании: Polygon, KiteAI, aPriori;
Поисковые запросы с русских IP, включая частый перевод на корейский.

Утечка данных выявила тактику северокорейских IT-специалистов, маскирующихся под фрилансеров

Описание

Ключевые индикаторы в электронной почте

Компрометация данных и риски

Подтверждение тактик через вторую утечку

Индикаторы компрометации

Emails