Вот как северокорейские хакеры все еще получают оплату в криптовалюте, несмотря на санкции

TRM Labs утверждает, что IT-работники Северной Кореи отмыли миллионы в USDC и USDT, тайно работая на стартапы в области блокчейна.

Северная Корея продолжает полагаться на криптовалюту для тихого финансирования своих программ вооружений, и правительство США активно усиливает усилия по их прекращению. 8 июля Управление по контролю за иностранными активами Министерства финансов США наложило санкции на северокорейского хакера Сонг Кума Хёка, которого, как утверждается, заподозрили в организации широкой схемы с участием поддельных удаленных работников в ни о чем не подозревающих технологических и криптовалютных компаниях.

Согласно недавнему отчету блокчейн-экспертной компании TRM Labs, Сонг был связан с Андариэлем, киберпреступной единицей, которая является частью военной разведки Северной Кореи. Они объяснили, что он играл ключевую роль в трудоустройстве IT-работников — большинство из которых на самом деле были северокорейскими агентами — в американские компании, используя украденные американские личности и поддельные документы.

Многие из этих рабочих мест были в web3, криптоинфраструктуре или разработке программного обеспечения, связанного с блокчейном.

TRM Labs заявила, что эти работники действовали из таких стран, как Китай и Россия, притворяясь фрилансерами, работающими в США. Они получали оплату в стейблкоинах, таких как USD Coin (USDC) и Tether (USDT). Оттуда деньги, по всей видимости, проходили через слои кошельков, миксеров и конверсионных сервисов, прежде чем оказаться в руках северокорейского режима.

"Министерство финансов остается приверженным использованию всех доступных инструментов для разрушения усилий режима Кима обходить санкции через кражу цифровых активов, попытки выдавать себя за американцев и злонамеренные кибератаки."

Заместитель министра финансов, Майкл Фолкендер

Аналитики TRM Labs указали на то, что это всего лишь последний признак того, что Генеральное управление разведки Северной Кореи — то же агентство, что стоит за Lazarus и Bluenoroff — по-прежнему использует кибертактики для поддержки военных целей. Они отметили, что чиновники Минфина предупреждали о том, что кража криптовалюты и мошенничество с личностью остаются центральными элементами стратегии Северной Кореи по избежанию экономического давления.

Аналитики объяснили, что схема, раскрытая OFAC, сильно зависит от фальшивых личностей. Сообщается, что Сон был ответственен за создание этих фальшивых идентичностей, используя украденные данные у реальных граждан США. После найма северокорейские операatives могли работать в американских компаниях под вымышленными именами в течение месяцев или даже лет.

Они также отметили, что OFAC наложил санкции на четыре компании и еще одно лицо, связанные с сетью, основанной в России, которая якобы помогала управлять этими поддельными IT-работами. Эти компании, как сообщается, подписали долгосрочные контракты с фирмами, связанными с КНДР, и знали, что имеют дело с работниками из Северной Кореи.

Многие из работников нацелились на рабочие места в криптосекторе, где платежи было легче анонимизировать. Как сказали аналитики TRM Labs, после получения криптовалюты она была распределена по нескольким кошелькам и в конечном итоге конвертирована в фиат с использованием OTC-брокеров, некоторые из которых ранее были под санкциями.

Кибер альянс

Последние действия OFAC последовали за серией согласованных действий американских агентств, включая Министерство юстиции и ФБР. 5 июня 2025 года Министерство юстиции также подало гражданский иск о конфискации, стремясь изъять более 7,7 миллиона долларов в криптовалюте, NFT и других цифровых активах, которые, как полагают, связаны с той же северокорейской сетью.

TRM Labs сообщает, что работники использовали такие имена, как "Джошуа Палмер" и "Алекс Хонг", чтобы устроиться на работу в крипто-стартапы и другие технологические компании. Им платили в стейблкоинах, а доходы направлялись через централизованные биржи, самостоятельно управляемые кошельки, а затем к более высокопрофильным фигурам режима, таким как Ким Санг Ман и Сим Хён Соп, которые уже находятся под санкциями США.

Согласно аналитикам, расследование Министерства юстиции показало, что часть операции полагалась на инфраструктуру, основанную в России и ОАЭ. Следователи обнаружили использование местных IP-адресов и поддельной документации, что помогло северокорейским работникам скрыть свои истинные личности. Это, по их словам, подчеркивало, насколько международной стала схема.

Онлайн-активность, связанная с кошельками ИТ-работников КНДР | Источник: TRM LabsДанные блокчейна, проанализированные TRM, показали, что как только средства достигали кошельков среднего уровня, деньги делились на более мелкие части, проходили через инструменты, повышающие конфиденциальность, и в конечном итоге обменивались на фиат через OTC-столы. Один из этих OTC-брокеров уже был подвергнут санкциям OFAC в конце 2024 года.

Что касается усилий правоохранительных органов, ФБР и другие агентства успешно изъяли часть отмытого цифрового актива, включая USDC, ETH и некоторые высокоценные NFT. Аналитики описали эти изъятия как часть более широкой стратегии отмывания, направленной на разрушение денежного следа и усложнение его обнаружения.

TRM Labs утверждает, что последнее действие правительства США отправляет сообщение о том, что криптовалюта остается высокорисованным каналом для уклонения от санкций, особенно когда речь идет о северокорейских операциях. Блокчейн-аналитическая компания предупредила, что компании, нанимающие удаленных разработчиков — особенно в блокчейн-сфере — должны проявлять особую осторожность в проверке того, с кем они действительно имеют дело.