GrayscaleInsight

Files / Корейская Народно-Демократическая Республика

Сетевой анализ: угрозы и активность северокорейских работников

В данном отчете подробно анализируется мошенническая и кибершпионская деятельность северокорейских специалистов, использующих удаленную занятость для проникновения в глобальные компании, а также отслеживаются их вредоносные кластеры и операционные модели, технологии и инфраструктура сетей прикрытия.

Detail

Published

22/12/2025

Список ключевых заголовков разделов

  1. Исполнительное резюме
  2. Ключевые выводы
  3. Предыстория
  4. Анализ угроз
  5. Меры по смягчению последствий
  6. Перспективы
  7. Приложение A: Модель Diamond для PurpleBravo
  8. Приложение B: Индикаторы компрометации (IoC)
  9. Приложение C: Техники MITRE ATT&CK
  10. Приложение D: Прикрывающие компании TAG-121

Введение в документ

В эпоху, когда удаленная работа становится все более распространенной, северокорейский режим использует эту тенденцию для получения доходов посредством мошеннического найма в сфере информационных технологий (ИТ). Северокорейские ИТ-работники проникают в международные компании под ложными личностями, получая удаленные должности. Эти операции не только нарушают международные санкции, но и представляют серьезную угрозу кибербезопасности, включая мошенничество, кражу данных и потенциальный подрыв коммерческой деятельности. В данном отчете на основе исследований Insikt Group (подразделения анализа угроз Recorded Future) систематически анализируется модель работы этой новой угрозы, связанные с ней вредоносные кластеры и их глубокое влияние на глобальные цепочки поставок.

В центре отчета — отслеживание вредоносного кластера, связанного с КНДР, известного как PurpleBravo (ранее известного как Threat Activity Group 120). Этот кластер частично пересекается с кампанией заразных собеседований, нацеленной в основном на разработчиков программного обеспечения в криптовалютной индустрии. PurpleBravo использует вредоносное ПО, такое как BeaverTail (информационный стилер), InvisibleFerret (кроссплатформенный Python-бэкдор) и OtterCookie (инструмент для установки постоянного доступа на зараженных системах). В период с октября по ноябрь 2024 года PurpleBravo нацелился как минимум на три организации в криптовалютной сфере: компанию-маркетмейкера, онлайн-казино и компанию по разработке программного обеспечения. Кроме того, кластер был активен как минимум на трех сайтах по поиску работы, в Telegram и на GitHub, регулярно публикуя рекламу вакансий и обновляя репозитории кода.

Исследование также выявило расширение северокорейской мошеннической деятельности в другие области, а именно создание прикрывающих компаний, имитирующих законные ИТ-фирмы. В отчете идентифицирован другой независимый кластер активности, TAG-121, который управляет сетью прикрывающих компаний в Китае. Эти компании, копируя большую часть контента с сайтов целевых компаний, выдают себя за законные ИТ-предприятия из Китая, Индии, Пакистана, Украины и США. Insikt Group выявила как минимум семь таких подозреваемых прикрывающих компаний, связанных с КНДР. Эти структуры повышают уровень отрицания для северокорейских операторов, затрудняют обнаружение и позволяют им глубже внедряться в глобальную ИТ-цепочку поставок.

В отчете подробно анализируются тактики, техники и процедуры (TTP) PurpleBravo, включая функциональные возможности используемых семейств вредоносного ПО, инфраструктуру серверов управления и контроля (C2) (в основном с использованием хостинг-провайдеров, таких как Tier.Net), а также доказательства управления через VPN Astrill. На основе сетевой разведки Recorded Future в период с сентября 2024 года по 13 февраля 2025 года было зафиксировано как минимум семь предполагаемых жертв в различных странах, включая США, ОАЭ, Коста-Рику, Индию, Вьетнам, Турцию и Южную Корею.

Для противодействия этой угрозе в отчете обобщены рекомендации различных сторон, включая Интернет-центр жалоб на преступления США (IC3), Министерство финансов США и правительство Южной Кореи, и предложены исчерпывающие меры по смягчению последствий по нескольким направлениям: аутентификация, проверка биографических данных, технические меры, финансовая профилактика, практики коммуникации и организационная политика. В перспективе, по мнению отчета, по мере ужесточения международных санкций ожидается рост масштабов и сложности киберопераций КНДР. Столкнувшись с противником, использующим сложные методы для обхода традиционных процессов найма, предприятия и правительства должны применять более строгую проверку личности, усиливать безопасность удаленной работы и укреплять международный обмен разведданными, чтобы сдерживать эту растущую угрозу.