فرض مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (OFAC)، عقوبات على مواطن كوري شمالي يُدعى سونغ كيم هيوك، يبلغ من العمر 38 عامًا، بسبب دوره في مخطط توظيف احتيالي شهير في قطاع تكنولوجيا المعلومات، تقف وراءه مجموعة Andariel المرتبطة بكوريا الشمالية.
وأوضحت الوزارة أن سونغ، المقيم في مقاطعة جيلين الصينية، سهّل تنفيذ عمليات التوظيف الاحتيالية من خلال توظيف عمال في مجال تكنولوجيا المعلومات من خارج البلاد، بهدف التقدم للعمل عن بُعد مع شركات أمريكية، مقابل تقاسم الدخل معهم. ويُزعم أنه بين عامي 2022 و2023، استخدم هويات مواطنين أمريكيين، بما في ذلك أسماؤهم وعناوينهم وأرقام الضمان الاجتماعي الخاصة بهم، لإنشاء هويات مزيفة للعمال المتعاقدين، الذين قدموا أنفسهم على أنهم أمريكيون باحثون عن وظائف عن بُعد.
حملة أوسع ضد مخطط التوظيف السيبراني الكوري الشمالي
جاءت هذه العقوبات بعد أيام من إعلان وزارة العدل الأمريكية عن حملة شاملة استهدفت شبكة التوظيف الاحتيالي المرتبطة بكوريا الشمالية، نتج عنها اعتقال شخص واحد، ومصادرة 29 حسابًا ماليًا، و21 موقعًا إلكترونيًا مزيفًا، وقرابة 200 جهاز كمبيوتر.
وشملت العقوبات أيضًا مواطنًا روسيًا وأربع كيانات روسية شاركت في مخطط مشابه، من خلال التعاقد مع عمال كوريين شماليين وتوفير الدعم التشغيلي لهم، ومن بين هؤلاء:
-
غايك أساتريان، الذي استخدم شركتيه الروسيتين Asatryan LLC وFortuna LLC لتوظيف عمال تكنولوجيا معلومات من كوريا الشمالية
-
شركة Korea Songkwang Trading General Corporation، التي أبرمت عقدًا مع Asatryan لإرسال 30 عاملًا إلى روسيا
-
شركة Korea Saenal Trading Corporation، التي أبرمت عقدًا لإرسال 50 عاملًا للعمل مع Fortuna LLC
وتُعد هذه أول مرة يتم فيها ربط عنصر من مجموعة Andariel، التابعة لمجموعة Lazarus السيبرانية الشهيرة، بمخطط توظيف احتيالي، وهو ما يشير إلى أهمية هذا المخطط كمصدر رئيسي للدخل غير المشروع لنظام كوريا الشمالية الخاضع للعقوبات. وتُعتبر مجموعة Lazarus فرعًا تابعًا لمكتب الاستطلاع العام التابع لجمهورية كوريا الشعبية الديمقراطية.
وقال نائب وزير الخزانة، مايكل فولكندر: “هذا الإجراء يؤكد أهمية اليقظة إزاء محاولات كوريا الشمالية المستمرة لتمويل برامج أسلحتها النووية والصاروخية الباليستية بطرق سرية”. وأضاف: “وزارة الخزانة ستواصل استخدام جميع الأدوات المتاحة لتعطيل جهود نظام كيم جونغ أون لتجاوز العقوبات عبر سرقة الأصول الرقمية، وانتحال الهوية، والاختراقات السيبرانية الخبيثة”.
مخطط “العمالة عن بُعد” كمصدر لتمويل النظام الكوري
يُعرف هذا المخطط أيضًا بأسماء مثل Nickel Tapestry وWagemole وUNC5267، ويعتمد على استخدام هويات مسروقة أو مزيفة من قبل عمال كوريين شماليين للتقدم إلى وظائف عن بُعد في شركات أمريكية، بهدف الحصول على رواتب تُحوّل لاحقًا إلى النظام الحاكم من خلال شبكات معقدة تعتمد على العملات الرقمية المشفّرة.
وتُشير بيانات من TRM Labs إلى أن كوريا الشمالية تقف وراء سرقة نحو 1.6 مليار دولار من أصل 2.1 مليار دولار نُهبت عبر 75 هجومًا على شركات العملات الرقمية في النصف الأول من عام 2025، كان أبرزها اختراق منصة Bybit.
وأكد مايكل “بارني” بارنهارت، المحلل المتخصص في المخاطر الداخلية بشركة DTEX، أن هذه التهديدات تتطلب تنسيقًا دوليًا متزايدًا لمواجهتها، قائلًا: “في بعض الحالات، قد يكون العامل الكوري الشمالي موجودًا فعليًا في الصين، ويعمل لحساب شركة وهمية تُظهر نفسها كشركة سنغافورية، وتتعاقد بدورها مع مزود خدمات أوروبي يقدم خدماته لعملاء أمريكيين. هذا المستوى من التمويه يُظهر مدى أهمية التحقيقات المشتركة وتبادل المعلومات الاستخباراتية.”
هجمات إلكترونية موازية من مجموعة Kimsuky
في سياق متصل، أُبلغ عن أن مجموعة Kimsuky المرتبطة بكوريا الشمالية (المعروفة أيضًا باسم APT-C-55) تستخدم بابًا خلفيًا يُعرف باسم HappyDoor في هجماتها على كيانات كورية جنوبية. ووفقًا لتقارير شركة AhnLab، يُستخدم هذا الباب الخلفي منذ عام 2021، ويُوزع عادة عبر هجمات التصيّد الاحتيالي بالبريد الإلكتروني.
ويتيح البرنامج الخبيث جمع معلومات حساسة، وتنفيذ أوامر ونصوص PowerShell وملفات دفعية، ورفع ملفات إلى خوادم التحكم. وغالبًا ما يتخفى المهاجم في هيئة أستاذ جامعي أو مؤسسة أكاديمية، ويوزع مرفقات خبيثة تؤدي إلى تثبيت الباب الخلفي بمجرد فتحها.
