كشفت تقارير حديثة عن استراتيجية احتيال سيبراني متطورة تتبعها كوريا الشمالية، حيث يقوم عملاء تدعمهم الدولة بالتسلل إلى شركات عالمية عبر انتحال شخصية عمال تقنية معلومات. تهدف هذه العملية، التي تعود جذورها إلى عام 2017، إلى تحصيل رواتب دولية تمول برامج الأسلحة التي تسعى بيونغ يانغ لتطويرها، متجاوزة بذلك العقوبات الدولية.
ينتحل القراصنة الكوريون الشماليون هويات مزيفة وسير ذاتية وهمية لضمان الحصول على وظائف عن بعد في مجال تطوير البرمجيات، خاصة في الولايات المتحدة وأوروبا. وغالبًا ما يحاول هؤلاء المهاجمون تحويل تفاعلات المقابلات عن بعد من مكالمات الفيديو إلى محادثات صوتية أو نصية بحجة وجود مشاكل تقنية، بينما يظهر شخص آخر في الفيديو لتمثيلهم.
عمليات الاحتيال السيبراني الكوري الشمالي
تُعد هذه العمليات الاحتيالية وسيلة رئيسية لتمويل برامج بيونغ يانغ لتطوير الأسلحة. وفقًا للتحليلات، تصل الرواتب التي يحصل عليها هؤلاء العاملون الوهميون إلى 300 ألف دولار سنويًا للفرد، وتحتفظ الحكومة الكورية الشمالية بما يصل إلى 90% من هذه الأموال لدعم برامجها النووية والصاروخية.
لقد تم تتبع بنية تحتية حاسمة لهذه العمليات من قبل محللي شركة Team Cymru، بعد أن أشار باحث في مجال أمن التشفير إلى ارتباط نطاق معين (luckyguys[.]site) بالمدفوعات المرتبطة بعمال تقنية المعلومات الوهميين التابعين لكوريا الشمالية. كشف فحص حركة مرور الشبكة عن تفاصيل حول كيفية عمل هؤلاء المهاجمين وتنقلهم للأموال دون إثارة الشبهات.
تكتيكات التخفي باستخدام الشبكات الافتراضية الخاصة
يعتمد المهاجمون على شبكات افتراضية خاصة (VPN) لإخفاء مواقعهم الحقيقية. أظهر تحليل حركة المرور استخدامًا كبيرًا لشبكات مثل Astrill VPN (37.5%)، و Mullvad (32.25%)، و Proton VPN (6.25%). تتيح هذه الخدمات للمهاجمين توجيه اتصالاتهم عبر عقد خروج في الولايات المتحدة، مما يجعلهم يبدون كموظفين محليين عاديين.
كما كشفت حركة مرور الشبكة عن اتصالات بمنصات مثل Gmail، و ChatGPT، و Workana، وهي منصة عمل حر أصبحت قناة رئيسية للمهاجمين للحصول على وظائف عن بعد باستخدام هويات مزيفة. وتشير المتابعة إلى تزايد أساليب الابتزاز هذه، حيث يقوم المهاجمون بسرقة بيانات حساسة وأكواد مصدر من أصحاب العمل ثم يطالبون بفدية.
فرضت وزارة الخزانة الأمريكية عقوبات على ستة أفراد ومنظمتين في مارس 2026 لدورهم المباشر في هذه المخططات، والتي تتعقبها فرق استخبارات التهديدات تحت أسماء مثل Coral Sleet، و PurpleDelta، و Wagemole.
استغلال عناوين IP السكنية
تكمن أحد الجوانب التقنية الهامة في هذه الاستراتيجية في كيفية إخفاء المهاجمين لوجودهم على الشبكة. فقد وجدت تحليلات Team Cymru أن عناوين IP سكنية أمريكية ولاتفية كانت تتواصل مع البنية التحتية المحددة خلال فترة المراجعة. هذا يشير بقوة إلى استخدام أنظمة منزلية أو مزارع حواسيب محمولة، حيث توضع الأجهزة المقدمة من أصحاب العمل في أماكن سكنية يديرها وسطاء في الولايات المتحدة.
شوهد انخفاض سريع في حركة مرور الشبكة بعد الكشف العلني عن نطاق luckyguys[.]site، مما يؤكد أن المشغلين يراقبون أي كشف عن عملياتهم ويتخلون بسرعة عن البنية التحتية عند ربطها العلني بهم. يعكس هذا السلوك نمطًا معروفًا لكوريا الشمالية في تغيير البنية التحتية بسرعة عند التعرض.
توصي المنظمات بمعاملة عناوين IP السكنية بحذر، حيث يمكن أن تكون جزءًا من شبكات وسيطة أو للتستر. يجب اعتبار استخدام VPN من مزودين تم ربطهم سابقًا بأنشطة كوريا الشمالية بمثابة إشارة خطر. تمثل مسارات التوظيف عبر منصات العمل الحر العالمية، خاصة، متجهًا رئيسيًا للتسلل وتتطلب تدقيقًا أشد خلال عملية التأهيل. يجب الإبلاغ عن أي حركة مرور شبكة تتصل بعناوين IP 216.158.225[.]144 و 163.245.219[.]19 والتحقيق فيها.