СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.11.2025
#Dev#ИБ

MSMT: кибероперации КНДР, сети прикрытий и криптовалютные схемы

В недавнем отчёте Многосторонней группы по мониторингу санкций (MSMT) описана разветвлённая деятельность северокорейских IT‑специалистов, действовавших под прикрытием в нескольких странах Африки и Персидского залива. Эксперты фиксируют устойчивые попытки КНДР использовать международные платформы, подставные фирмы и культурные прикрытия для финансовых и оперативных целей, связанных с обходом санкций.

Краткие выводы отчёта

  • Идентифицированы операции северокорейских IT‑специалистов в Танзании, Гвинее, Экваториальной Гвинее и Нигерии.
  • Один из сотрудников, работавший в Конакри (Гвинея), активен с ~2017 года и использовал онлайн‑псевдонимы David Orion, Bill O’Neill и Genze Wu.
  • Этот деятель работал на сайтах фриланса и разработал приложение с эффектом камеры — FlippedWorld, ранее размещённое в Apple App Store.
  • Зафиксирована повышенная активность с нигерийских IP‑адресов, но доказательств физического присутствия сотрудников КНДР в Нигерии нет.
  • Ранее установлены связи между нигерийскими преступными группировками и северокорейскими IT‑работниками, что свидетельствует о потенциальном сотрудничестве.
  • Зарегистрирована группа северокорейских художников, работавших в Омане и ОАЭ (2008–2015), предположительно на подставные компании, связанные с попавшей под санкции торговой корпорацией Paekho.
  • Bureau 61 с 2021 года развёртывает делегации IT‑специалистов и связана с подставными фирмами в регионax, включая Владивосток и Шэньян.
  • Некоторые IT‑работники имеют связь с APT‑группировкой Moonstone Sleet, что указывает на концентрацию усилий на криптовалютных операциях и адаптацию тактик.

Детали: операционные приёмы и маскировка

MSMT отмечает разнообразие методов прикрытия и каналов деятельности:

  • Использование фриланс‑площадок и цифровых персонажей для трудоустройства и сокрытия происхождения операций.
  • Размещение мобильных приложений (пример — FlippedWorld) как способ легитимного присутствия в экосистеме разработчиков.
  • Применение культурных и художественных прикрытий (группа художников в Персидском заливе) для маскировки финансовых и логистических потоков, связанных с Paekho.
  • Строительство сети подставных компаний и делегаций (Bureau 61) в разных городах, что формирует расширенную инфраструктуру за пределами классических технологических центров.

«MSMT подчёркивает изощрённые и эволюционирующие стратегии, применяемые кибероператорами КНДР, использующими целый ряд международных баз для обхода санкций и участия в незаконной деятельности.»

Нигерия: IP‑активность без подтверждённого присутствия

Отчёт указывает на усиление активности с нигерийских IP, однако при этом нет доказательств физического пребывания северокорейских специалистов в стране. Вместе с тем предыдущие исследования фиксировали контакты между нигерийскими преступными группировками и IT‑персоналом КНДР — след, который может указывать на аутсорсинг или совместные схемы, выгодные обеим сторонам.

Bureau 61 и расширение инфраструктуры

Bureau 61 обозначается в отчёте как ключевой элемент более широкой сети: начиная с 2021 года бюро инициирует выезды и формирование подставных компаний в разных регионах (включая Владивосток и Шэньян). Такой подход указывает на системную, управляемую попытку создать устойчивую международную инфраструктуру для киберопераций и финансовых схем.

APT‑связи и фокус на криптовалютах

Отдельно отмечается связь части IT‑сотрудников с APT‑группировкой Moonstone Sleet. Это свидетельствует о стратегическом повороте: наряду с традиционными задачами растёт акцент на криптовалютных операциях — вероятно, как одном из основных источников обхода финансовых ограничений.

Последствия и рекомендации

Отчёт MSMT демонстрирует, что северокорейские операторы применяют гибридные подходы — цифровые платформы, подставные компании и культурные прикрытия — для достижения целей, несовместимых с санкциями. Такие схемы осложняют идентификацию и пресечение операций.

  • Необходима координация международных расследований по выявлению подставных юридических лиц и цифровых аккаунтов.
  • Платформам фриланса и маркетплейсам стоит усилить механизмы проверки происхождения аккаунтов и приложений.
  • Спецслужбам и регуляторам следует учитывать мультидоменный характер угроз — от художественных прикрытий до связей с APT и крипто‑операциями.

В целом отчет MSMT демонстрирует, что угрозы со стороны КНДР остаются адаптивными и многоуровневыми, требуя комплексных и скоординированных мер реагирования как от государств, так и от частного сектора.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: