Фейкові айтівці масово заполонили Європу: як і для чого КНДР створила тіньову кіберармію

У цифровому світі Північна Корея воює без зброї, але з кодом, фейковими резюме та хакерськими інструментами. Звіт Google, опублікований на початку 2025 року, показує тривожну картину: під виглядом фрилансерів із США, Італії чи Японії північнокорейські IT-працівники пробираються в компанії по всьому світу. Вони пишуть код, створюють сервіси, отримують доступ до внутрішніх систем – і фінансують режим, який будує ракети, а не стартапи.

Це не одиничні випадки, а продумана стратегія. Десятки фальшивих особистостей, обхід перевірок, робота через популярні платформи та зарплати в криптовалюті – все це допомагає режиму Кім Чен Ина заробляти мільйони в обхід санкцій. І поки західні компанії не помічають нічого дивного, ці "айтішники" стають частиною глобального механізму, який працює на військову програму однієї з найзакритіших країн світу.

Детальніше про цю історію – читайте в матеріалі 24 Каналу.

Північнокорейські ІТ-працівники вийшли у світ: як нова хвиля кіберзагроз охоплює Європу

Після гучного викриття восени 2024 року північнокорейських айтівців, що працюють під прикриттям, Google зафіксувала подальше зростання їхньої активності. Тепер основна арена їхніх дій – це Європа.

Тоді, у вересні 2024 року, Google вперше гучно заявила про загрозу з боку ІТ-працівників з КНДР, які видають себе за фрилансерів із різних країн, щоб влаштуватися в іноземні компанії, зокрема в США. Але з того часу їхня діяльність лише розширилась – як географічно, так і за масштабами.

За новими даними групи Threat Intelligence Group (GTIG) компанії Google, починаючи з кінця 2024 року активність ІТ-працівників з Північної Кореї різко зросла в Європі. І хоча США залишаються основною ціллю, пильна увага правоохоронців, складнощі з перевірками особистості та низка публічних викриттів змусили північнокорейських спецслужбістів шукати нові способи. І вони знайшли їх у Старому Світі.

Один з прикладів – ІТ-фахівець, який наприкінці 2024 року одночасно керував 12 різними онлайн-фейками, що імітували пошук роботи в кількох компаніях одразу. Його цілями були оборонна промисловість та урядові структури, особливо в ЄС .

Країни, що постраждали від представників КНДР. Серед них і Україна / Інфографіка Mandiant

Північнокореєць використовував фейкові рекомендації, будував довіру з рекрутерами та навіть створював сторонніх персонажів, які нібито підтверджували його кваліфікацію. Ще кілька профілів з тієї ж схеми було виявлено у Німеччині та Португалії – разом з обліковими даними на європейських платформах для пошуку роботи.

Серед цілей – технології, блокчейн та ШІ

У Великій Британії Google зафіксувала цілу низку проєктів, в яких працювали північнокорейські розробники — від класичного веброзроблення до створення ШІ-застосунків та блокчейн-платформ.

Серед них:

• платформа на базі Next.js і CosmosSDK для хостингу токенів Nodexa;
• маркетплейс для пошуку роботи на MERN-стеку з інтеграцією Solana;
• smart-контракти на Anchor/Rust;
• застосунок з ШІ та блокчейном на Electron та Next.js.

Щоб пройти ідентифікацію особи, ці працівники часто прикидалися громадянами Італії, Японії, Малайзії, Сінгапуру, України, США та В'єтнаму. Вони реєстрували акаунти на фриланс-платформах (Upwork, Telegram, Freelancer), а оплата відбувалася в криптовалюті через TransferWise або Payoneer, щоб приховати реальні шляхи фінансування.

В Європі дослідники також виявили низку фасилітаторів – людей або структур, які допомагають таким працівникам отримати роботу, пройти перевірку документів, отримати доступ до коштів. Один із випадків показав, що корпоративний ноутбук, призначений для Нью-Йорка, активно використовувався в Лондоні.

Ще одне розслідування виявило архів із вигаданими особами, фальшивими дипломами з Белградського університету, фейковими адресами в Словаччині та навіть контактами фахівця з підроблення паспортів.

Нові методи північнокорейців: шантаж і віртуальні машини

Із жовтня 2024 року ситуація загострилася: Google зафіксувала нову тенденцію – зростання випадків шантажу. Раніше звільнені ІТ-працівники погрожували зливом конфіденційної інформації разом з початковим кодом та даними про внутрішні проєкти компаній.

Цей тренд збігся з активними діями з боку американських правоохоронців, які почали масові арешти та викриття. Можливо, саме тиск на працівників з КНДР підштовхнув їх до таких агресивних методів, метою яких було зберегти дохід.

Ще одна загроза – моделі BYOD (Bring Your Own Device), які дають змогу співробітникам працювати з власних пристроїв через віртуальні машини. Це дуже ускладнює відстеження діяльності, адже звичні засоби моніторингу (наприклад, логування або перевірка корпоративних пристроїв) не застосовуються. Саме такі середовища стали новою точкою атаки для ІТ-працівників із КНДР у січні 2025 року.

Північнокорейські ІТ-працівники швидко адаптуються до змін. Вони створили цілісну глобальну інфраструктуру з фейкових особистостей, фасилітаторів та криптофінансування. Європа сьогодні – не просто новий напрямок, а активна зона дій для цього кіберпідрозділу.

Для компаній по всьому світу це сигнал про необхідність посилити перевірки персоналу, зокрема в умовах віддаленої або фриланс-роботи.

Що ще робить КНДР у кіберпросторі​

У лютому 2025 року світ криптовалют сколихнула безпрецедентна подія: хакери, пов'язані з Північною Кореєю, здійснили найбільше в історії пограбування, викравши з біржі Bybit криптовалюту на суму 1,5 мільярда доларів. ​21 лютого 2025 року хакери здобули доступ до холодного гаманця біржі Bybit, що базується в Дубаї та обслуговує понад 60 мільйонів користувачів. Вони перевели понад 401 000 Ethereum (ETH) на невідомі адреси, що становило близько 70% усіх ETH, які зберігалися на платформі.

Генеральний директор Bybit Бен Чжоу запевнив клієнтів, що компанія зможе покрити втрати, отримавши позики від інших криптокомпаній, зокрема Bitget, яка надала 100 мільйонів доларів. ​

Федеральне бюро розслідувань США заявило, що за цією атакою стоїть північнокорейська хакерська група Lazarus, відома своїми масштабними кібератаками. Викрадені кошти, ймовірно, будуть відмиті та конвертовані в фіатну валюту для фінансування програм озброєнь Північної Кореї. ​

Цікаво! Згідно з даними ООН, Північна Корея використовує кошти, здобуті від кібератак, для фінансування своїх ядерних та ракетних програм. Режим генерує до половини своїх доходів у іноземній валюті через зловмисну кібердіяльність. З 2021 року хакери, пов'язані з режимом Кім Чен Ина, викрали близько 5 мільярдів доларів у криптоактивах, що становить велику частину валютних надходжень країни. ​

Загалом ці історії – ще один дзвінкий сигнал для всієї IT-галузі в широкому сенсі: поки біржі нарощують капітали, уряди типу північнокорейського не сплять і шукають, як урвати шматок. Хакерські атаки вже не просто про гроші – це питання глобальної безпеки.

І мова не лише про зухвалі злами на мільярди. Паралельно з атаками на біржі КНДР запускає в дію інший фронт – армію фейкових IT-фахівців. Поки світ дивиться на ядерні ракети КНДР, сама Корея давно воює в цифровому полі. І саме через крипту, фриланс і анонімні перекази ця тіньова кіберармія здобуває пальне – в буквальному сенсі – для ракет.

Якщо світ і далі недооцінюватиме цю загрозу, ми можемо опинитися в ситуації, коли кібератаки з чужими обличчями фінансують реальні бойові дії.