Внутри кражи Крипто на $900K: Как агенты Северной Кореи незаметно infiltrировали Блокчейн компании

Основные выводы:

• Четыре северокорейских агента выдавали себя за удаленных IT-специалистов, чтобы получить доступ и украсть более 900 000 долларов в криптовалюте.
• Они infiltrировали блокчейн-компании в США и Сербии, используя украденные личности и поддельные документы.
• Средства были отмыты через миксеры и фальшивые учетные записи, при этом следователи связали операцию с усилиями КНДР по финансированию своих программ вооружений.

Четыре гражданина Северной Кореи были обвинены федеральными прокурорами в участии в краже валюты, которая похитила почти 1 миллион долларов в криптовалюте у двух криптовалютных компаний в сложной серии онлайн-атак. Прокуроры утверждают, что обвиняемые воспользовались ростом удаленной работы и развитием криптовалюты, чтобы избежать санкций и направить цифровые активы в правительство Северной Кореи.

!

Удаленная работа как обходной путь в блокчейн-компании

Обвинительное заключение, поданное в Северном округе Джорджии 30 июня 2025 года, описывает мошенническую схему, которая продолжалась как минимум с 2019 года до какого-то момента в 2022 году, с несколькими кражами криптовалюты в этот период. Обвиняемые — Ким Кван Джин, Кан Тэ Бок, Чонг Понг Чжу и Чанг Нам Иль — использовали поддельные и украденные личности, чтобы получить работу разработчиками в блокчейн-компаниях, расположенных в США и Сербии.

Судебные записи показывают, что Ким и Чонг были наняты в качестве разработчиков компанией по исследованию и разработке блокчейна, базирующейся в Джорджии, и фирмой виртуальных токенов, расположенной в Сербии, соответственно. Они подали заявки под поддельными профилями, которые включали мошеннические документы, смешивая реальные и украденные данные о личности. Ни одна из компаний не была осведомлена о истинной северокорейской национальности заявителей на момент найма.

По сообщению, операция началась с того, что группа работала вместе в Объединенных Арабских Эмиратах в 2019 году, где они впервые скоординировали свои навыки и спланировали, как нацелиться на криптоплатформы за границей.

Координированное похищение и отмывание цифровых активов

Эксплуатация смарт-контрактов и доступ инсайдеров

Попав в эти должности, агенты получили доступ к конфиденциальным внутренним системам и криптокошелькам компании. Чонг Понг Чжу, также известный как "Брайан Чо", вывел примерно 175 000 долларов в цифровой валюте со счета своего работодателя в феврале 2022 года. Через месяц Ким Кван Джин воспользовался уязвимостями в коде смарт-контракта компании, похитив почти 740 000 долларов криптоактивов.

Прокуроры заявили, что оба кражи были заранее спланированы и использовали модификации кода и внутренние разрешения для сокрытия несанкционированных транзакций. Украденные деньги были отмыты через сервис смешивания цифровой валюты, чтобы скрыть их происхождение, после чего они были переведены на счета биржи, открытые с поддельными малайзийскими удостоверениями личности.

Эти счета обмена управлялись Кан Тэ Боком и Чанг Нам Илем, другими соучастниками, которые также отмывали доходы от украденных денег. Все четверо были названы в обвинительном заключении из пяти пунктов, включая обвинения в мошенничестве с использованием электронных средств и отмывании денег.

Власти США предупреждают о расширяющихся кибертактиках Северной Кореи

Генеральный прокурор США Теодор С. Херцберг подчеркнул, что дело отражает растущую и расчетливую угрозу со стороны Народной Демократической Республики Кореи (DPRK), которая использует ИТ-операторов по всему миру, чтобы обойти санкции и собрать средства для государственных программ, включая разработку ядерного оружия.

«Эти лица скрыли свои истинные личности, воспользовались доверием работодателей и украли почти миллион долларов — всё это для поддержки авторитарного режима», — сказал Херцберг. «Мы будем продолжать преследовать любого актера, как внутреннего, так и иностранного, который нацеливается на бизнес в США.»

Отделение ФБР в Атланте, которое возглавило расследование, разделяет эти опасения. Специальный агент по расследованиям Пол Браун заявил, что использование КНДР мошеннических личностей для нарушения безопасности блокчейн-компаний подчеркивает четкое пересечение между кибербезопасностью, национальной безопасностью и финансовой преступностью.

Шаблон уклонения от санкций с использованием криптовалюты

Этот случай не является изолированным. Он является частью более широкой схемы, в которой оперативники Северной Кореи используют криптоинфраструктуру для обхода международных ограничений. На внутреннем фронте поддержки Министерства юстиции США, Министерство юстиции участвует в общественных связях, известной как DPRK RevGen: Инициатива по внутренним поддержкам, наступлении, инициированном в марте 2024 года Национальным управлением безопасности Министерства юстиции, целью которого является устранение этих онлайн-путей отмывания денег на основе виртуальной валюты как за границей, так и в США.

!

Власти заявили, что мошенничество является частью более широкой кампании по формированию "сетей генерации доходов", которые в конечном итоге способствуют стратегическому бюджету Северной Кореи. К ним относятся высокопрофильные кибератаки, развертывания программ-вымогателей и теперь — прямая инфильтрация в корпоративные команды через удаленную работу.

Эндрю Фирман, глава национальной безопасности в компании по блокчейн-экспертизе Chainalysis, прокомментировал, что акторы из КНДР все больше внедряются в целевые фирмы:

«Они собирают внутренние знания, манипулируют системами изнутри и даже организуют внутренние нарушения.»

Эта модель инсайдеров затрудняет обнаружение, особенно в сочетании с продвинутыми методами отмывания, такими как смешивание токенов и использование протоколов децентрализованных финансов (DeFi) для наложения транзакций.

Читать далее: Основатель Manta Network избежал взлома Zoom группой Lazarus, используя тактику дипфейк и вредоносного ПО

Криптоиндустрия сталкивается с новой проверкой

Инцидент ставит перед криптоиндустрией несколько сложных вопросов, в частности о проверке личности, найме удаленных сотрудников и контроле доступа. Хотя компании на основе блокчейна придают большое значение децентрализации и найму талантливых сотрудников по всему миру, недостатком является повышенная подверженность сложному мошенничеству.

Согласно источникам, знакомым с расследованием, украденные средства — стоимостью примерно 915 000 долларов на тот момент — все еще отслеживаются на биржах. Министерство юстиции и ФБР сотрудничают с международными правоохранительными органами и частными аналитическими компаниями в области блокчейна для восстановления активов.

Читать далее: ZachXBT идентифицирует группу Lazarus как хакеров Bybit на сумму $1.4B, выигрывает награду Arkham