كشفت تقارير أمنية أن عاملين في مجال تكنولوجيا المعلومات مرتبطين بجمهورية كوريا الديمقراطية الشعبية (DPRK) بدأوا باستخدام حسابات LinkedIn حقيقية لأشخاص آخرين، معتمدين على بيانات موثقة مثل البريد الإلكتروني الرسمي وبطاقات الهوية الوظيفية، لتقديم طلبات عمل عن بُعد تبدو شرعية. الهدف من هذه الحملة هو التسلل إلى شركات غربية وغيرها تحت هويات مسروقة أو مزيفة، وهي عملية طويلة الأمد تُعرف في المجتمع الأمني بأسماء مثل Jasper Sleet، PurpleDelta، Wagemole.
أهداف مالية واستخباراتية مزدوجة
الغاية من هذه الأنشطة مزدوجة:
- توليد دخل ثابت لدعم برامج الأسلحة النووية والصاروخية.
- تنفيذ عمليات تجسس عبر سرقة بيانات حساسة، وأحياناً ابتزاز الشركات مقابل عدم تسريب المعلومات.
ووصفت شركة Silent Push البرنامج بأنه “محرك إيرادات ضخم” للنظام الكوري الشمالي، حيث يمنح المهاجمين وصولاً إدارياً إلى قواعد الشيفرة الحساسة ويتيح لهم البقاء داخل البنية التحتية للشركات باستخدام تقنيات التخفي.
غسل الأموال عبر العملات المشفرة
أوضحت شركة Chainalysis أن رواتب هؤلاء العاملين تُحوّل إلى عملات مشفرة ثم تُغسل عبر تقنيات مثل chain-hopping وtoken swapping باستخدام العقود الذكية والبروتوكولات اللامركزية، مما يعقد عملية تتبع الأموال.
هذا الأسلوب يعكس مدى التنظيم والقدرة التقنية التي يوظفها النظام لإخفاء مصادر التمويل.
حملات اجتماعية موازية: “المقابلة المعدية”
إلى جانب مخطط التوظيف، ظهرت حملة أخرى تُعرف باسم Contagious Interview، حيث يتظاهر المهاجمون بأنهم مجندون أو مدراء توظيف على LinkedIn، ويستدرجون الضحايا إلى مقابلات عمل مزيفة. المرحلة الخبيثة تبدأ عندما يُطلب من المرشحين تنفيذ مهام تقنية مثل استنساخ مستودع GitHub أو تثبيت حزم npm، ما يؤدي إلى تشغيل برمجيات خبيثة.
في بعض الحالات، استخدم المهاجمون تقنية EtherHiding التي تعتمد على العقود الذكية في البلوكشين لاستضافة البنية التحتية للتحكم والسيطرة، مما يجعل إزالة الحمولة الخبيثة أكثر صعوبة.
أدوات جديدة: Koalemos RAT
وثّقت شركة Panther حملة تضمنت نشر حزم npm خبيثة لتثبيت برمجية وصول عن بُعد (Koalemos RAT) قادرة على تنفيذ أوامر متعددة تشمل عمليات الملفات، نقل البيانات، وتنفيذ تعليمات استكشافية. البرمجية تعتمد على اتصال مشفر وتكرار دوري للمهام، مما يمنح المهاجمين وصولاً كاملاً ومستداماً إلى الأنظمة المصابة.
تطور مجموعات كوريا الشمالية
أعلنت CrowdStrike أن مجموعة Labyrinth Chollima الكورية الشمالية انقسمت إلى ثلاث وحدات متخصصة:
- Labyrinth Chollima: تركز على التجسس السيبراني.
- Golden Chollima: تستهدف سرقات صغيرة ومتكررة للعملات المشفرة.
- Pressure Chollima: تنفذ عمليات كبيرة ضد مؤسسات تمتلك أصولاً رقمية ضخمة.
ورغم استقلالية هذه الوحدات، فإنها تشترك في البنية التحتية والأدوات، مما يشير إلى تنسيق مركزي داخل جهاز القرصنة الكوري الشمالي.
