Эксперты по кибербезопасности в ходе беспрецедентной операции получили уникальную возможность изнутри изучить методы работы северокорейской государственной хакерской группировки Lazarus, а именно её подразделения «Знаменитый Чхоллима» (Famous Chollima). Целью APT-группы был не привычный вредоносный код, а массовое внедрение своих оперативников в западные компании, прежде всего в финансовый и криптовалютный сектора США, для промышленного шпионажа и отмывания денег в обход санкций.
Описание
Расследование, проведённое специалистами из NorthScan и BCA LTD при технологической поддержке сервиса динамического анализа ANY.RUN, выявило, что основным инструментом хакеров стала не сложная техника, а грубая социальная инженерия и кража личностей. Оперативники под видом рекрутеров искали удалённых IT-специалистов, предлагая им роль «подставного лица» для прохождения собеседований в американские компании.
Схема вербовки: GitHub, Telegram и «слишком выгодное» предложение
Операция началась с массового спама через GitHub. Аккаунты, связанные с Lazarus, рассылали разработчикам сообщения с предложением работы. В них незнакомец представлялся владельцем бизнеса по поиску работы в США и просил получателя проходить технические собеседования от его имени, используя чужое резюме. За это предлагался процент от будущей зарплаты, а всю реальную работу якобы должны были выполнять «теневые разработчики» оперативника.
Исследователь Хайнер Гарсия из NorthScan, внедрившись в эту схему, вступил в контакт с рекрутером по имени Аарон (также известным как Blaze). В ходе серии видеозвонков в Telegram оперативник детально изложил условия: «инженер-лицо» должен предоставить полный доступ к своему компьютеру 24/7, а также передать данные удостоверения личности, номер социального страхования (SSN), банковские счета и доступ к почте и LinkedIn. Целью назывались компании в сферах IT, финтеха и здравоохранения.
Ловушка на «ферме»: наблюдение в реальном времени в песочнице
Получив доверие, исследователи не стали предоставлять реальный компьютер. Вместо этого они заманили оперативников в специально подготовленные песочницы (sandbox) ANY.RUN, которые могли работать много часов подряд, имитируя окружение реального ноутбука разработчика. Это позволило в режиме реального времени наблюдать за каждым действием хакеров: от движений мыши и нажатий клавиш до сетевых запросов.
Когда Blaze подключился к системе через AnyDesk, его первой задачей стала разведка: он запустил диагностику оборудования, проверил настройки и попытался получить доступ к аккаунтам. Аналитики фиксировали его IP-адрес, который принадлежал сервису Astrill VPN - излюбленному инструменту северокорейских хакеров для сокрытия местоположения. Чтобы предотвратить потенциально вредоносные действия и продлить наблюдение, исследователи периодически искусственно «падали» системы, сбрасывая прогресс злоумышленника.
Инструментарий шпиона: AI, удалённый доступ и человеческие ошибки
В ходе сеансов Blaze синхронизировал свой профиль Google Chrome с «рабочего» компьютера. Это раскрыло его инструментарий, который больше походил на набор легитимного фрилансера, а не на арсенал хакера. Среди расширений были AI-помощники для заполнения заявок на работу (Simplify Copilot, AiApply), сервис для генерации ответов на собеседования (Final Round AI), менеджер одноразовых паролей (OTP.ee) и Google Remote Desktop для постоянного удалённого доступа.
Ключевым открытием стала низкая операционная безопасность (OpSec) группировки. Хакеры совершали повторяющиеся ошибки: использовали предсказуемые пароли вроде «123456», искали в Google «где моё местоположение», а их инфраструктура была общей. В один из моментов к той же песочнице подключился другой оперативник под ником Assassin с того же IP-адреса, что подтвердило плохую координацию внутри ячейки.
Внутренние конфликты и итоги расследования
Исследователи также смогли заглянуть в личную переписку Blaze, оставшуюся открытой в почте после очередного «сбоя». Диалоги с коллегой по имени Зишана Джамшед раскрыли фрустрацию и рутинность их криминальной деятельности. Один из оперативников жаловался на однообразие и бесполезность платформ для поиска работы, намекая на внутреннее напряжение.
В конце концов, после серии намеренных сбоев и смены виртуального местоположения системы, у Blaze возникли подозрения. Он начал проверять IP-адрес на сервисах репутации, но было уже поздно. Операция была завершена, собрав богатый материал о тактиках, техниках и процедурах (TTP) группировки.
Это расследование наглядно показывает, что современная киберугроза со стороны государственных структур может принимать форму не технической атаки, а сложной схемы социальной инженерии. «Знаменитый Чхоллима» эксплуатирует человеческую доверчивость и желание найти хорошую работу, превращая соискателей в невольных пособников шпионажа и отмывания денег. Эксперты призывают компании ужесточить проверки при приёме на работу, а специалистов - скептически относиться к предложениям, которые выглядят слишком хорошо, чтобы быть правдой. Бдительность и проверка фактов остаются главной защитой от таких многослойных угроз.
Индикаторы компрометации
IPv4
- 194.33.45.162
Domains
- aaronsfazzy.slack.com
- aaronzeeshan.slack.com
URLs
- https://calendly.com/7codewizard/30min
- https://github.com/7codewizard
- https://github.com/ghost
- https://github.com/neymafullstack
- https://github.com/swiftcode1121
- https://jackson-portfolio.vercel.app
- https://t.me/peregrine423f
- https://us.bold.pro/my/jaron-gaston-241007104612
- https://www.linkedin.com/in/jackson-kidd-1680b2339/
Emails
- jacksonkidd216@gmail.com
- kamaunjoroge296@gmail.com
