Sjevernokorejski IT radnici značajno su proširili svoje poslovanje izvan Sjedinjenih Država, sa sve većim fokusom na evropske organizacije.
Ovi akteri prijetnje predstavljaju legitimne udaljene radnike kako bi se infiltrirali u kompanije, stvarajući prihod za režim DNRK-a, dok potencijalno ugrožavaju osjetljivu korporativnu infrastrukturu.
Njihove taktike su evoluirale tako da uključuju falsifikovanje akreditiva, izgradnju odnosa s regruterima i korištenje više osoba da jamče za svoje izmišljene identitete na platformama za zapošljavanje kao što su Upwork i Telegram.
Infiltracija počinje kada se ovi operativci prijave za udaljene tehničke pozicije, posebno ciljajući na one u odbrambenoj industrijskoj bazi i državnim sektorima.
Oni stvaraju razrađene pozadine, tvrdeći nacionalnosti iz različitih zemalja, uključujući Italiju, Japan, Maleziju, Singapur i Ukrajinu.
.webp)
Kako bi zaobišli procedure verifikacije, oni postavljaju sofisticiranu mrežu fasilitatora koji pomažu u poništavanju provjere identiteta i upravljaju lažnim primanjem sredstava.
Google Threat Intelligence Group (GTIG) je identifikovao ovu rastuću prijetnju kroz opsežne istrage sprovedene u saradnji sa sigurnosnim partnerima.
Njihovo istraživanje ukazuje na taktičku promjenu u odgovoru na povećanu svijest i akcije provođenja u Sjedinjenim Državama, što je dovelo do toga da ove operativce uspostave snažnije operacije širom Evrope.
Uticaj ovih infiltracija seže dalje od obične prevare, jer nedavni incidenti pokazuju porast pokušaja iznude protiv bivših poslodavaca.
Kada su otkriveni i ukinuti, ovi IT radnici su zaprijetili da će objaviti osjetljive podatke ili prodati vlasnički izvorni kod konkurenciji, što predstavlja značajnu eskalaciju u njihovom pristupu.
Ova promjena se poklopila s pojačanim mjerama za provođenje zakona, što sugeriše da ih pritisak tjera na agresivnije taktike generisanje prihoda.
Tehnički projekti koje poduzimaju ovi operativci pokazuju značajnu stručnost, obuhvatajući tradicionalni web razvoj do naprednih blockchain i AI aplikacija.
Njihov rad uključuje razvoj koristeći Next.js, React, CosmosSDK, Golan g i blockchain tehnologije kao što su Solana i Anchor/Rust pametni ugovori.
Eksploatacija virtuelizirane infrastrukture
Posebno zabrinjavajući razvoj je fokus IT radnika DNRK-a na dovođenju okruženja vlastitih uređaja (BYOD) počevši od januara 2025.
Ova podešavanja omogućavaju zaposlenima da pristupe sistemima kompanije preko virtuelnih mašina na ličnim uređajima, stvarajući značajne bezbjednosne mrtve tačke.
Za razliku od korporativnih laptopa koji sadrže softver za praćenje , lični uređaji koji rade u skladu sa BYOD politikama obično nemaju tradicionalne alate za sigurnost i evidentiranje, što njihove aktivnosti čini znatno težim za praćenje.
Ovo okruženje eliminiše uobičajene tragove dokaza kao što su adrese za isporuku korporativnih laptopa i inventari softvera krajnjih tačaka.
Bez ovih mehanizama za otkrivanje, IT radnici mogu raditi uz minimalan rizik od otkrivanja dok pristupaju osjetljivim korporativnim resursima.
Sigurnosni analitičari primjećuju da ovaj pristup predstavlja stratešku evoluciju, jer su operativci identifikovali ova virtuelizirana okruženja kao posebno ranjiva na njihove šeme infiltracije.
Izvor: CyberSecurityNews
