Ось як північнокорейські хакери все ще отримують оплату в криптовалюті, незважаючи на санкції

TRM Labs стверджує, що північнокорейські ІТ-робітники відмили мільйони в USDC та USDT, таємно працюючи на блокчейн-стартапи.

Північна Корея продовжує покладатися на криптовалюту для тихого фінансування своїх програм озброєнь, а уряд США посилює зусилля щодо їх припинення. 8 липня Офіс контролю за іноземними активами Міністерства фінансів США наклав санкції на північнокорейського хакера Сонг Кум Хьока, якого, за їхніми словами, залучали до організації широкомасштабної схеми з використанням фальшивих віддалених працівників у нічого не підозрюючих технологічних і крипто-компаніях.

Згідно з недавнім звітом блокчейн-слідчої компанії TRM Labs, Сонг був пов'язаний з Андрелієм, підрозділом кіберзлочинності, який є частиною військової розвідки Північної Кореї. Вони пояснили, що він відігравав ключову роль у працевлаштуванні ІТ-спеціалістів — більшість з яких насправді були агенти Північної Кореї — у компаніях США, використовуючи вкрадені американські особистості та підроблені документи.

Багато з цих робіт були пов'язані з web3, криптоінфраструктурою або розробкою програмного забезпечення, пов'язаного з блокчейном.

TRM Labs повідомила, що ці працівники діяли з країн, таких як Китай і Росія, прикидаючись фрілансерами, що базуються в США. Вони отримували оплату у стейблкоїнах, таких як USD Coin (USDC) та Tether (USDT). Після цього гроші, здається, проходили через шари гаманців, міксерів та конверсійних послуг, перш ніж потрапити до рук північнокорейського режиму.

"Міністерство фінансів залишається відданим використанню всіх доступних інструментів для зриву зусиль режиму Кімів обійти санкції через їх крадіжку цифрових активів, спроби наслідування американців та зловмисні кібератаки."

Заступник секретаря казначейства, Майкл Фолкендер

Аналітики TRM Labs зазначили, що це лише останній знак того, що Генеральне управління розвідки Північної Кореї — те саме агентство, яке стоїть за Lazarus та Bluenoroff — все ще використовує кібертактики для підтримки військових цілей. Вони зазначили, що чиновники Міністерства фінансів попереджали, що крадіжка криптовалюти та шахрайство з особистістю залишаються центральними елементами стратегії Північної Кореї для уникнення економічного тиску.

Аналітики пояснили, що схема, виявлена OFAC, сильно залежить від фальшивих персон. Нібито, Сунг був відповідальний за створення цих фальшивих особистостей, використовуючи вкрадені дані від реальних громадян США. Після найму, північнокорейські агенти могли працювати місяцями або навіть роками в американських компаніях під вигаданими іменами.

Вони також зазначили, що OFAC наклав санкції на чотири компанії та ще одну особу, пов'язану з мережею, що базується в Росії, яка нібито допомагала управляти цими фальшивими ІТ-робочими місцями. Ці компанії, як повідомляється, підписали довгострокові контракти з фірмами, пов'язаними з Північною Кореєю, і знали, що мають справу з півнокорейськими працівниками.

Багато з працівників націлилися на робочі місця в криптосекторі, де платежі було легше анонімізувати. Як тільки криптовалюта була отримана, аналітики TRM Labs сказали, що вона була розподілена між кількома гаманцями і врешті-решт конвертована в фіат через OTC-брокерів, деякі з яких вже були під санкціями.

Кібер альянс

Останні дії OFAC стали наслідком серії скоординованих заходів з боку американських агентств, зокрема Міністерства юстиції та ФБР. 5 червня 2025 року Міністерство юстиції також подало цивільну скаргу на конфіскацію, прагнучи вилучити понад 7,7 мільйонів доларів у криптовалютах, NFT та інших цифрових активах, які, як вважається, пов'язані з тією ж північнокорейською мережею.

TRM Labs повідомляє, що працівники використовували ідентичності, такі як "Joshua Palmer" та "Alex Hong", щоб влаштуватися на роботу в крипто-стартапи та інші технологічні компанії. Вони отримували оплату в стейблкоїнах, причому доходи проходили через централізовані біржі, самостійно збережені гаманці, а потім переходили до високопрофільних осіб режиму, таких як Кім Санг Ман та Сім Хьон Соп, які вже підпадають під санкції США.

Дослідження DOJ, за словами аналітиків, показало, що частини операції покладалися на інфраструктуру, розташовану в Росії та ОАЕ. Слідчі виявили використання місцевих IP-адрес та підробленої документації, що допомогло північнокорейським працівникам приховати свої справжні особи. Це, за їхніми словами, підкреслило, наскільки міжнародною стала ця схема.

Он-лінійна активність, пов'язана з гаманцями IT-робітників КНДР | Джерело: TRM LabsБлокчейн-дані, проаналізовані TRM, показали, що як тільки кошти потрапляли на середньорівневі гаманці, гроші ділилися на менші частини, проходили через інструменти, що підвищують конфіденційність, і врешті-решт обмінювалися на фіат через OTC-столи. Один з цих OTC-брокерів вже був підданий санкціям з боку OFAC наприкінці 2024 року.

Що стосується зусиль правоохоронних органів, то ФБР та інші агенції успішно вилучили частину відмитих цифрових активів, включаючи USDC, ETH та деякі високоякісні NFT. Аналітики описали ці вилучення як частину більш широкої стратегії відмивання, що має на меті розірвати грошовий слід і ускладнити виявлення.

TRM Labs заявляє, що останні дії уряду США надсилають повідомлення про те, що криптовалюта залишається каналом високого ризику для ухилення від санкцій, особливо коли йдеться про операції Північної Кореї. Компанія, що займається аналізом блокчейну, застерегла, що компанії, які наймають віддалених розробників — особливо в сфері блокчейну — повинні особливо ретельно перевіряти, з ким вони насправді мають справу.