Pohjois-Korean IT-työntekijät varastivat yhdysvaltalaisia henkilöllisyyksiä pestäkseen 7,7 miljoonaa dollaria kryptovaluutassa

Yhdysvaltain oikeusministeriö (DOJ) on takavarikoinut yli 7,74 miljoonaa dollaria, jotka väitetysti on pesty Pohjois-Korean hallituksen puolesta.

Laaja siviilitakavarikkotoimi seurasi tutkimusta monimutkaisesta kryptoskeemasta, johon liittyi varastettuja amerikkalaisia henkilöllisyyksiä ja petollista etätyötä.

Pohjois-Korean agentit esiintyvät työnhakijoina

Kanne jätettiin Yhdysvaltain Columbian piirikunnan käräjäoikeuteen, ja siinä kuvataan, kuinka pohjoiskorealaiset IT-työntekijät esiintyivät amerikkalaisina saadakseen työpaikkoja Yhdysvaltain lohkoketju- ja teknologiayrityksissä.

Heidän palkkansa, jotka usein maksettiin stablecoineina kuten USDC ja USDT, ohjattiin salaa takaisin Pohjois-Koreaan kehittyneillä rahanpesutaktiikoilla.

FBI:n tutkimus paljasti, että nämä toimijat käyttivät varastettuja tai väärennettyjä henkilöllisyystodistuksia ohittaakseen KYC-tarkastukset. Henkilöllisyystodistukset auttoivat heitä myös pääsemään etätyörooleihin, joskus työalustojen tai Yhdysvalloissa toimivien välittäjien kautta.

Tavoitteena oli tuottaa kryptotuloja Pohjois-Korean voimakkaasti sanktioidun aseohjelman tukemiseksi.

“FBI:n tutkimus on paljastanut laajan kampanjan, jossa pohjoiskorealaiset IT-työntekijät huijaavat Yhdysvaltain yrityksiä hankkimalla työtä amerikkalaisten kansalaisten varastetuilla henkilöllisyyksillä. Kaikki tämä, jotta Pohjois-Korean hallitus voi kiertää Yhdysvaltain pakotteet ja tuottaa tuloja autoritaariselle hallinnolleen,” sanoi FBI:n vastatiedusteluosaston apulaisjohtaja Roman Rozhavsky.

Kryptovaluutan hankkimisen jälkeen toimijat väitetysti pesivät sen “chain hopping” -menetelmällä. Muita keinoja olivat tokenien vaihto ja jopa NFT:iden ostaminen jälkien hämärtämiseksi.

Varat ohjattiin kuorotilien kautta ja lopulta Pohjois-Korean korkeille virkamiehille. Kanteessa mainitaan virkamiehet kuten Sim Hyon Sop ja Kim Sang Man, jotka molemmat ovat Yhdysvaltain valtiovarainministeriön sanktioimia.

North Korea has dispatched thousands of skilled IT workers abroad with the aim of deceiving U.S. and other businesses worldwide into hiring them as freelance IT workers so they can support North Korean cyber operations and generate revenue for the North Korean regime.  Learn more… pic.twitter.com/qctMta67BF

— NCSC (@NCSCgov) April 3, 2025

Vain muutama viikko sitten Krakenin turvallisuustiimit estivät pohjoiskorealaisen hakkerin, joka esiintyi työnhakijana. BeInCrypto raportoi, että he yrittivät soluttautua yritykseen väärin perustein.

Hakkeri käytti väärennettyjä asiakirjoja rohkeassa yrityksessä päästäkseen sisäpiiriin. Tämä korostaa, kuinka pitkälle hallinnon IT-välittäjät menevät soluttautuakseen Yhdysvalloissa toimiviin kryptoyrityksiin.

Krakenin tietomurto, Bybit-hakkerointi ja Dark Web -iskut paljastavat laajan uhan

DOJ:n mukaan nämä työntekijät toimivat Kiinasta, Venäjältä ja Laosista käsin Chinyong IT Cooperation Companyn alaisuudessa. Erityisesti tämä yritys on Pohjois-Korean puolustusministeriön alainen.

Kanteessa viitataan myös Chinyongin toimitusjohtajan, Kim Sang Manin, rooliin suunnitelmassa. Kim toimi väitetysti välittäjänä työntekijöiden ja maan ulkomaankauppapankin välillä.

“Vuosien ajan Pohjois-Korea on hyödyntänyt globaalia etätyö- ja kryptovaluuttaekosysteemiä. Jatkamme taloudellisten elinehtojen katkaisemista, jotka ylläpitävät DPRK:ta ja sen epävakauttavaa agendaa,” lisäsi Sue Bai DOJ:n kansallisen turvallisuuden osastolta.

Tämä operaatio on osa laajempaa DPRK (Korean demokraattinen kansantasavalta) RevGen -aloitetta, joka käynnistettiin vuonna 2024.

DPRK pyrkii purkamaan Pohjois-Korean kyberrahoitusinfrastruktuurin. Se seuraa sarjaa DOJ:n toimia vastaavia suunnitelmia vastaan, mukaan lukien syytteet, omaisuuden takavarikoinnit ja pakotteiden täytäntöönpano.

FBI:n toimet Pohjois-Korean kryptotaktiikoita vastaan tulevat kasvavan huolen keskellä. Viime kuussa lohkoketjututkija ZachXBT varoitti, että Pohjois-Korea on kaikkialla kryptossa ja DeFi:ssä.

BeInCrypto raportoi 244 miljoonan dollarin kryptotappioista toukokuussa, jotka liittyivät suurelta osin Cetus-murtoon ja Pohjois-Koreaan liittyviin varkauksiin. Viimeaikaiset tapaukset vahvistavat myös uhkan laajuuden.

Niiden joukossa on Bybit, joka kärsi murrosta, joka jäljitettiin Pohjois-Korean Lazarus-ryhmään. Samoin DMM Bitcoin -murto liittyi TraderTraitor-ryhmään Pohjois-Koreasta.

Yhdysvallat, Japani ja Etelä-Korea ovat kaikki yhdessä tuominneet Pohjois-Korean laittoman krypton käytön. Erityisesti he viittasivat sen vaikutukseen kansainväliseen turvallisuuteen.

“Rikollisuus saattaa kannattaa muissa maissa, mutta näin se ei toimi täällä… Pysäytämme edistymisesi, iskemme takaisin ja otamme haltuun kaikki laittomasti hankkimasi tuotot,” Yhdysvaltain syyttäjä Jeanine Ferris Pirro totesi.