Редакционная заметка: Северокорейские хакеры всегда были серьезной угрозой для криптовалютного рынка. В предыдущие годы жертвы и специалисты по безопасности в индустрии могли только предполагать модели поведения северокорейских хакеров, анализируя каждое соответствующее событие безопасности. Однако вчера известный цепочный детектив ZachXBT в своем последнем твите сослался на расследование, проведенное белым хакером, который смог обратить атаки северокорейских хакеров против них. Это впервые с активной точки зрения раскрывает методы "работы" северокорейских хакеров и может иметь определенное положительное значение для предварительной безопасности проектов в индустрии.
Ниже представлено полное содержание ZachXBT, переведенное газетой Odaily 星球日报.
Недавний хакер, который пожелал остаться анонимным, взломал устройство одного из IT-работников Северной Кореи, в результате чего стало известно о том, как команда из пяти человек манипулировала более чем 30 поддельными личностями для ведения своей деятельности. Эта команда не только обладала поддельными удостоверениями личности, выданными правительством, но также проникает в различные проекты разработки, покупая аккаунты на Upwork/LinkedIn.
!
!
Следователи получили данные из его Google Диска, профили браузера Chrome и скриншоты устройств. Данные показывают, что команда сильно полагается на инструменты Google для координации рабочего расписания, распределения задач и управления бюджетом, все коммуникации ведутся на английском.
!
В еженедельном отчете, представленном в 2025 году, раскрываются рабочие методы этой хакерской группы и трудности, с которыми они сталкивались. Например, один из членов группы жаловался: «Я не могу понять требования к работе, не знаю, что делать», а в соответствующем разделе решения было написано: «Вложить душу и работать вдвое усерднее»...
!
!
Записи о расходах показывают, что их статьи расходов включают покупку номера социального страхования (SSN), сделки с аккаунтами Upwork и LinkedIn, аренду телефонных номеров, подписку на AI-сервисы, аренду компьютеров и закупку VPN / прокси-сервисов и т.д.
!
Одна из электронных таблиц подробно фиксирует расписание и сценарий общения для участия в встрече под вымышленным именем «Генри Чжан». Операционный процесс показывает, что эти северокорейские IT-работники сначала приобретают аккаунты на Upwork и LinkedIn, арендуют компьютерное оборудование, а затем выполняют аутсорсинг с помощью инструмента удаленного доступа AnyDesk.
!
!
Один из их кошельков для получения и отправки средств:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
!
!
Этот адрес имеет тесную связь с атакой на протокол Favrr в 680 000 долларов, произошедшей в июне 2025 года. Позже было подтверждено, что его технический директор и другие разработчики были северокорейскими IT-работниками с поддельными удостоверениями. Также через этот адрес были идентифицированы другие северокорейские IT-специалисты, участвующие в проектах по внедрению.
!
В записях поиска и истории браузера команды также были найдены следующие ключевые доказательства.
! !
Некоторые могут задать вопрос: «Как подтвердить, что они из Северной Кореи»? Кроме всех мошеннических документов, подробно описанных выше, их история поиска также показывает, что они часто использовали Google Translate и переводили на корейский с российского IP.
!
!
На данный момент основными вызовами для предприятий в предотвращении работы IT-специалистов из Северной Кореи являются следующие аспекты:
Отсутствие системного сотрудничества: между платформенными провайдерами и частными предприятиями отсутствует эффективный механизм обмена информацией и сотрудничества;
Неправомерные действия со стороны работодателя: команда по найму часто проявляет оборонительное отношение после получения предупреждения о риске и даже отказывается сотрудничать с расследованием;
Преимущество количества: хотя их технические средства не сложны, благодаря большому числу соискателей они продолжают проникать на мировой рынок труда.
Каналы конвертации средств: Платформы платежей, такие как Payoneer, часто используются для обмена доходов в фиатной валюте от разработки на криптовалюту;
Я уже многократно упоминал показатели, на которые следует обратить внимание, заинтересованные могут ознакомиться с моими историческими твитами, поэтому здесь я не буду повторяться.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
ZachXBT: Обратный хакерский доступ к устройствам северокорейских хакеров, после чего я понял их "рабочую" модель
Автор: ZachXBT
Компиляция: Азума, Газета планеты
Редакционная заметка: Северокорейские хакеры всегда были серьезной угрозой для криптовалютного рынка. В предыдущие годы жертвы и специалисты по безопасности в индустрии могли только предполагать модели поведения северокорейских хакеров, анализируя каждое соответствующее событие безопасности. Однако вчера известный цепочный детектив ZachXBT в своем последнем твите сослался на расследование, проведенное белым хакером, который смог обратить атаки северокорейских хакеров против них. Это впервые с активной точки зрения раскрывает методы "работы" северокорейских хакеров и может иметь определенное положительное значение для предварительной безопасности проектов в индустрии.
Ниже представлено полное содержание ZachXBT, переведенное газетой Odaily 星球日报.
Недавний хакер, который пожелал остаться анонимным, взломал устройство одного из IT-работников Северной Кореи, в результате чего стало известно о том, как команда из пяти человек манипулировала более чем 30 поддельными личностями для ведения своей деятельности. Эта команда не только обладала поддельными удостоверениями личности, выданными правительством, но также проникает в различные проекты разработки, покупая аккаунты на Upwork/LinkedIn.
!
!
Следователи получили данные из его Google Диска, профили браузера Chrome и скриншоты устройств. Данные показывают, что команда сильно полагается на инструменты Google для координации рабочего расписания, распределения задач и управления бюджетом, все коммуникации ведутся на английском.
!
В еженедельном отчете, представленном в 2025 году, раскрываются рабочие методы этой хакерской группы и трудности, с которыми они сталкивались. Например, один из членов группы жаловался: «Я не могу понять требования к работе, не знаю, что делать», а в соответствующем разделе решения было написано: «Вложить душу и работать вдвое усерднее»...
!
!
Записи о расходах показывают, что их статьи расходов включают покупку номера социального страхования (SSN), сделки с аккаунтами Upwork и LinkedIn, аренду телефонных номеров, подписку на AI-сервисы, аренду компьютеров и закупку VPN / прокси-сервисов и т.д.
!
Одна из электронных таблиц подробно фиксирует расписание и сценарий общения для участия в встрече под вымышленным именем «Генри Чжан». Операционный процесс показывает, что эти северокорейские IT-работники сначала приобретают аккаунты на Upwork и LinkedIn, арендуют компьютерное оборудование, а затем выполняют аутсорсинг с помощью инструмента удаленного доступа AnyDesk.
!
!
Один из их кошельков для получения и отправки средств:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
!
!
Этот адрес имеет тесную связь с атакой на протокол Favrr в 680 000 долларов, произошедшей в июне 2025 года. Позже было подтверждено, что его технический директор и другие разработчики были северокорейскими IT-работниками с поддельными удостоверениями. Также через этот адрес были идентифицированы другие северокорейские IT-специалисты, участвующие в проектах по внедрению.
!
В записях поиска и истории браузера команды также были найдены следующие ключевые доказательства.
! !
Некоторые могут задать вопрос: «Как подтвердить, что они из Северной Кореи»? Кроме всех мошеннических документов, подробно описанных выше, их история поиска также показывает, что они часто использовали Google Translate и переводили на корейский с российского IP.
!
!
На данный момент основными вызовами для предприятий в предотвращении работы IT-специалистов из Северной Кореи являются следующие аспекты:
Я уже многократно упоминал показатели, на которые следует обратить внимание, заинтересованные могут ознакомиться с моими историческими твитами, поэтому здесь я не буду повторяться.