Pelaku ancaman yang memiliki hubungan dengan Republik Demokratik Rakyat Korea (DPRK) meniru bisnis konsultasi perangkat lunak dan teknologi yang berbasis di AS untuk mencapai tujuan keuangan mereka sebagai bagian dari skema pekerja teknologi informasi (TI) yang lebih luas.
“Perusahaan depan, yang sebagian besar berbasis di Tiongkok, Rusia, Asia Tenggara, dan Afrika, memainkan peran penting dalam menutupi asal usul pekerja yang sebenarnya dan mengelola pembayaran,” kata peneliti keamanan SentinelOne, Tom Hegel dan Dakota Cary dalam sebuah laporan yang dibagikan kepada The Hacker News. .
Jaringan pekerja TI di Korea Utara, baik dalam kapasitas individu maupun di bawah kedok perusahaan, dipandang sebagai teknik untuk menghindari sanksi internasional yang dikenakan terhadap negara tersebut dan menghasilkan pendapatan ilegal.
Kampanye global tersebut, yang juga dilacak sebagai Wagemole oleh Palo Alto Networks Unit 42, melibatkan penggunaan identitas palsu untuk mendapatkan pekerjaan di berbagai perusahaan di AS dan di tempat lain, dan mengirimkan kembali sebagian besar gaji mereka kembali ke Kerajaan Hermit dalam upayanya. untuk membiayai program senjata pemusnah massal (WMD) dan rudal balistiknya.
Pada bulan Oktober 2023, pemerintah AS menyatakan telah menyita 17 situs web yang menyamar sebagai perusahaan layanan TI yang berbasis di AS untuk menipu bisnis di dalam dan luar negeri dengan mengizinkan pekerja TI menyembunyikan identitas dan lokasi sebenarnya ketika melamar secara online untuk melakukan pekerjaan jarak jauh. dunia.
Para pekerja IT tersebut diketahui bekerja di dua perusahaan yang berbasis di China dan Rusia, yakni Yanbian Silverstar Network Technology Co. Ltd. dan Volasys Silver Star.
“Para pekerja TI ini menyalurkan pendapatan dari pekerjaan penipuan TI mereka kembali ke DPRK melalui penggunaan layanan pembayaran online dan rekening bank Tiongkok,” kata Departemen Kehakiman AS (DoJ) pada saat itu.
SentinelOne, yang menganalisis empat perusahaan IT Worker DPRK yang baru, mengatakan bahwa mereka semua terdaftar melalui NameCheap dan diklaim sebagai bisnis outsourcing, konsultasi, dan perangkat lunak pengembangan, sambil menyalin konten mereka dari perusahaan yang sah –
- Lab Independen LLC (inditechlab[.]com), yang menyalin format situs webnya dari perusahaan yang berbasis di AS bernama Kitrum
- Shenyang Tonywang Teknologi L TD (tonywangtech[.]com), yang menyalin format situs webnya dari perusahaan yang berbasis di AS bernama Urolime
- Tony WKJ LLC (wkjllc[.]com), yang menyalin format situs webnya dari perusahaan yang berbasis di India bernama ArohaTech IT Services
- HopanaTech (hopanatech[.]com), yang menyalin format situs webnya dari perusahaan yang berbasis di AS bernama ITechArt
Meskipun semua situs yang disebutkan di atas telah disita oleh pemerintah AS pada 10 Oktober 2024, SentinelOne mengatakan pihaknya menelusuri situs-situs tersebut kembali ke jaringan perusahaan depan yang lebih luas dan aktif yang berasal dari Tiongkok.
Selanjutnya, mereka mengidentifikasi perusahaan lain bernama Shenyang Huguo Technology Ltd (huguotechltd[.]com) menunjukkan karakteristik serupa, termasuk menggunakan konten dan logo yang disalin dari perusahaan perangkat lunak India lainnya, TatvaSoft. Domain tersebut didaftarkan melalui NameCheap pada Oktober 2023.
“Taktik ini menyoroti strategi yang disengaja dan berkembang yang memanfaatkan ekonomi digital global untuk mendanai kegiatan negara, termasuk pengembangan senjata,” kata para peneliti.
“Organisasi didesak untuk menerapkan proses pemeriksaan yang ketat, termasuk pengawasan cermat terhadap calon kontraktor dan pemasok, untuk mengurangi risiko dan mencegah dukungan yang tidak disengaja terhadap operasi terlarang tersebut.”
Pengungkapan ini menyusul temuan dari Unit 42 bahwa kelompok aktivitas pekerja TI Korea Utara yang disebut CL-STA-0237 “terlibat dalam serangan phishing baru-baru ini menggunakan aplikasi konferensi video yang terinfeksi malware” untuk mengirimkan malware BeaverTail, yang menunjukkan adanya hubungan antara Wgemole dan intrusi lainnya. set yang dikenal sebagai Wawancara Menular.
“CL-STA-0237 mengeksploitasi perusahaan layanan TI usaha kecil dan menengah (UKM) yang berbasis di AS untuk melamar pekerjaan lain,” kata perusahaan itu. “Pada tahun 2022, CL-STA-0237 mendapatkan posisi di sebuah perusahaan teknologi besar.”
Meskipun sifat sebenarnya dari hubungan antara pelaku ancaman dan perusahaan yang dieksploitasi tidak jelas, diyakini bahwa CL-STA-0237 mencuri kredensial perusahaan atau dipekerjakan sebagai karyawan outsourcing, dan sekarang menyamar sebagai perusahaan untuk mengamankan pekerjaan TI dan menargetkan calon pencari kerja dengan malware dengan dalih melakukan wawancara.
“Para pelaku ancaman di Korea Utara sangat sukses dalam menghasilkan pendapatan untuk mendanai kegiatan terlarang negara mereka,” kata Unit 42, seraya menunjukkan bahwa kelompok tersebut kemungkinan besar beroperasi dari Laos.
“Mereka awalnya menyamar sebagai pekerja TI palsu untuk mendapatkan aliran pendapatan yang konsisten, namun mereka mulai beralih ke peran yang lebih agresif, termasuk berpartisipasi dalam ancaman orang dalam dan serangan malware.”