Révélation sur l'équipe de hackers IT de Corée du Nord : plus de 30 identifications fictives infiltrent des projets de développement dans le monde entier
Récemment, un white hat hacker anonyme a réussi à infiltrer l'appareil d'un travailleur informatique nord-coréen, révélant les coulisses d'une équipe technique de cinq personnes qui utilise plus de 30 fausses identifications pour mener ses activités. Cette équipe détient non seulement des documents d'identification falsifiés émis par le gouvernement, mais elle pénètre également divers projets de développement en achetant des comptes sur des plateformes en ligne.
Les enquêteurs ont obtenu les données de Google Drive de l'équipe, les profils de navigateur et les captures d'écran des appareils. Les données montrent que cette équipe dépend fortement d'une série d'outils d'une entreprise de moteur de recherche pour coordonner les emplois du temps, attribuer des tâches et gérer le budget, toutes les communications étant effectuées en anglais.
Un rapport hebdomadaire de 2025 révèle le mode de fonctionnement de l'équipe de hackers et les défis auxquels elle est confrontée. Par exemple, certains membres ont signalé "ne pas comprendre les exigences de travail, ne pas savoir quoi faire", tandis que la solution correspondante était "s'investir sérieusement, redoubler d'efforts".
Les enregistrements des détails des dépenses montrent que leurs postes de dépense incluent l'achat de numéros de sécurité sociale (SSN), des comptes sur des plateformes de transaction en ligne, la location de numéros de téléphone, l'abonnement à des services d'IA, la location d'ordinateurs ainsi que l'acquisition de services VPN et de proxy, etc.
L'un des tableaux électroniques détaille le calendrier et le script de discours pour participer à la réunion sous une fausse identité "Henry Zhang". Le processus opérationnel montre que ces travailleurs informatiques nord-coréens achètent d'abord un compte de plateforme en ligne, louent des équipements informatiques, puis terminent le travail externalisé via des outils de contrôle à distance.
L'une des adresses de portefeuille qu'ils utilisent pour envoyer et recevoir des fonds est étroitement liée à un incident d'attaque de protocole survenu en juin 2025. Il a été confirmé par la suite que le CTO du protocole et d'autres développeurs étaient des travailleurs informatiques nord-coréens portant de faux documents. D'autres membres de l'équipe informatique nord-coréenne impliqués dans des projets d'infiltration ont également été identifiés via cette adresse.
L'équipe a également trouvé des preuves clés dans les enregistrements de recherche et l'historique du navigateur. En plus des documents frauduleux mentionnés ci-dessus, leur historique de recherche montre une utilisation fréquente d'outils de traduction en ligne et l'utilisation d'IP russes pour traduire le contenu en coréen.
Actuellement, les principales difficultés auxquelles les entreprises sont confrontées pour prévenir les travailleurs informatiques nord-coréens incluent :
Manque de collaboration systémique : il n'existe pas de mécanisme efficace de partage et de coopération d'information entre les fournisseurs de services de la plateforme et les entreprises privées ;
Insouciance de l'employeur : l'équipe de recrutement adopte souvent une attitude défensive après avoir reçu un avertissement de risque, voire refuse de coopérer à l'enquête ;
Avantage de quantité : Bien que ses moyens techniques ne soient pas complexes, il continue de pénétrer le marché mondial de l'emploi grâce à une base de candidats massive ;
Canaux de conversion des fonds : certaines plateformes de paiement sont fréquemment utilisées pour échanger les revenus en monnaie fiduciaire issus du travail de développement contre des cryptomonnaies.
Ces découvertes ont une certaine signification positive pour la mise en place de mesures de sécurité préventives dans les projets de l'industrie, nous offrant l'opportunité de comprendre les méthodes de "travail" des hackers nord-coréens sous un angle proactif.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Révélation sur l'équipe de hackers IT de Corée du Nord : plus de 30 identifications fictives infiltrent des projets de développement dans le monde entier
Récemment, un white hat hacker anonyme a réussi à infiltrer l'appareil d'un travailleur informatique nord-coréen, révélant les coulisses d'une équipe technique de cinq personnes qui utilise plus de 30 fausses identifications pour mener ses activités. Cette équipe détient non seulement des documents d'identification falsifiés émis par le gouvernement, mais elle pénètre également divers projets de développement en achetant des comptes sur des plateformes en ligne.
Les enquêteurs ont obtenu les données de Google Drive de l'équipe, les profils de navigateur et les captures d'écran des appareils. Les données montrent que cette équipe dépend fortement d'une série d'outils d'une entreprise de moteur de recherche pour coordonner les emplois du temps, attribuer des tâches et gérer le budget, toutes les communications étant effectuées en anglais.
Un rapport hebdomadaire de 2025 révèle le mode de fonctionnement de l'équipe de hackers et les défis auxquels elle est confrontée. Par exemple, certains membres ont signalé "ne pas comprendre les exigences de travail, ne pas savoir quoi faire", tandis que la solution correspondante était "s'investir sérieusement, redoubler d'efforts".
Les enregistrements des détails des dépenses montrent que leurs postes de dépense incluent l'achat de numéros de sécurité sociale (SSN), des comptes sur des plateformes de transaction en ligne, la location de numéros de téléphone, l'abonnement à des services d'IA, la location d'ordinateurs ainsi que l'acquisition de services VPN et de proxy, etc.
L'un des tableaux électroniques détaille le calendrier et le script de discours pour participer à la réunion sous une fausse identité "Henry Zhang". Le processus opérationnel montre que ces travailleurs informatiques nord-coréens achètent d'abord un compte de plateforme en ligne, louent des équipements informatiques, puis terminent le travail externalisé via des outils de contrôle à distance.
L'une des adresses de portefeuille qu'ils utilisent pour envoyer et recevoir des fonds est étroitement liée à un incident d'attaque de protocole survenu en juin 2025. Il a été confirmé par la suite que le CTO du protocole et d'autres développeurs étaient des travailleurs informatiques nord-coréens portant de faux documents. D'autres membres de l'équipe informatique nord-coréenne impliqués dans des projets d'infiltration ont également été identifiés via cette adresse.
L'équipe a également trouvé des preuves clés dans les enregistrements de recherche et l'historique du navigateur. En plus des documents frauduleux mentionnés ci-dessus, leur historique de recherche montre une utilisation fréquente d'outils de traduction en ligne et l'utilisation d'IP russes pour traduire le contenu en coréen.
Actuellement, les principales difficultés auxquelles les entreprises sont confrontées pour prévenir les travailleurs informatiques nord-coréens incluent :
Ces découvertes ont une certaine signification positive pour la mise en place de mesures de sécurité préventives dans les projets de l'industrie, nous offrant l'opportunité de comprendre les méthodes de "travail" des hackers nord-coréens sous un angle proactif.