تم الكشف عن عمليات نفذها قراصنة معلوماتيين من كوريا الشمالية، وذلك بعد قيام باحثين أمنيين باستدراجهم إلى “جهاز كمبيوتر محمول للمطورين” مُصمم خصيصًا، مما كشف عن كيفية محاولة طاقم “لazarus” الاندماج في سوق عمل أمريكي للعملات المشفرة باستخدام أدوات توظيف بالذكاء الاصطناعي وخدمات سحابية مشروعة. هذه الحادثة تسلط الضوء على تطور الجرائم الإلكترونية المدعومة من الدول، وتحديدًا عمليات القرصنة التي تستهدف البنية التحتية الرقمية.
تم التقاط هذا التطور في الجرائم الإلكترونية المدعومة من الدولة في الوقت الفعلي بواسطة باحثين في BCA LTD و NorthScan ومنصة تحليل البرامج الضارة ANY.RUN. وتُظهر التحقيقات أن المجموعة تستخدم أساليب جديدة للوصول إلى أهدافها، مع التركيز على التخفي والاندماج بدلاً من الاختراق المباشر.
القبض على المهاجم الكوري الشمالي
شارك Hacker News تفاصيل عملية نصب كمين منسقة، حيث قام الفريق بنشر “وعاء عسل” (honeypot)، وهو بيئة مراقبة مُتنكرة في هيئة جهاز كمبيوتر محمول شرعي للمطورين، لإغراء مجموعة Lazarus. تهدف هذه الطريقة إلى دراسة تكتيكات وتقنيات وإجراءات (TTPs) المهاجمين.
أظهرت اللقطات الناتجة عن العملية نظرة أوضح من أي وقت مضى حول كيفية تجاوز وحدات كورية شمالية، وتحديدًا قسم Famous Chollima، للجدران النارية التقليدية ببساطة عن طريق التوظيف من قبل قسم الموارد البشرية في الهدف. هذا التحول يمثل تحديًا كبيرًا لعمليات الأمن السيبراني التقليدية.
بدأت العملية عندما قام الباحثون بإنشاء شخصية مطور وقبلوا طلب مقابلة من مُجند مُستعار يُعرف باسم “Aaron”. بدلاً من نشر حمولة برامج ضارة قياسية، وجه المُجند الهدف نحو ترتيب عمل عن بعد شائع في قطاع Web3. هذا النهج يركز على استغلال الثقة بدلاً من نقاط الضعف التقنية.
عندما منح الباحثون الوصول إلى “الكمبيوتر المحمول”، الذي كان في الواقع جهازًا افتراضيًا مُراقبًا بشدة مصممًا لمحاكاة محطة عمل مقرها الولايات المتحدة، لم يحاول المشغلون استغلال نقاط الضعف في التعليمات البرمجية. بدلاً من ذلك، ركزوا على تأسيس وجودهم كموظفين نموذجيين على ما يبدو.
بناء الثقة
بمجرد الدخول إلى البيئة الخاضعة للرقابة، أظهر المشغلون سير عمل مُحسّن للاندماج بدلاً من الاختراق. استخدموا برامج أتمتة الوظائف المشروعة، بما في ذلك Simplify Copilot و AiApply، لإنشاء ردود مقابلة مصقولة وملء نماذج الطلبات على نطاق واسع. هذا الاستخدام للأدوات الغربية يزيد من خطورة الوضع.
يُظهر هذا الاستخدام للأدوات الغربية تصعيدًا مقلقًا، مما يدل على أن الجهات الحكومية تستفيد من تقنيات الذكاء الاصطناعي المصممة لتبسيط عمليات التوظيف في الشركات لهزيمتها. هذا يمثل تحديًا جديدًا لفرق الأمن السيبراني.
كشف التحقيق أن المهاجمين وجّهوا حركة مرورهم عبر Astrill VPN لإخفاء موقعهم واستخدموا خدمات قائمة على المتصفح للتعامل مع رموز المصادقة الثنائية المرتبطة بهويات مسروقة. هذه الإجراءات تهدف إلى إخفاء هوية المهاجمين وتجنب الكشف.
لم يكن الهدف النهائي هو التدمير الفوري ولكن الوصول طويل الأجل. قام المشغلون بتكوين Google Remote Desktop عبر PowerShell برقم تعريف شخصي ثابت، مما يضمن قدرتهم على الحفاظ على التحكم في الجهاز حتى إذا حاول المضيف إلغاء الامتيازات. هذا يضمن استمرار الوصول إلى النظام المستهدف.
لم تكن أوامرهم تهدف إلى اختراق محفظة فورية. بدلاً من ذلك، كانوا يقومون بتشغيل تشخيصات النظام للتحقق من صحة الأجهزة.
بدلاً من ذلك، سعى الكوريون الشماليون إلى ترسيخ أنفسهم كمطلعين موثوق بهم، ووضع أنفسهم في وضع يسمح لهم بالوصول إلى المستودعات الداخلية ولوحات معلومات السحابة.
تيار إيرادات بمليارات الدولارات
هذه الحادثة جزء من مجمع صناعي أكبر حول الاحتيال في التوظيف إلى محرك إيرادات رئيسي للنظام الخاضع للعقوبات. قدّرت فريق مراقبة العقوبات متعدد الأطراف مؤخرًا أن المجموعات المرتبطة ببيونغ يانغ سرقت ما يقرب من 2.83 مليار دولار من الأصول الرقمية بين عامي 2024 و 2025. هذا الرقم يمثل حوالي ثلث دخل كوريا الشمالية من العملات الأجنبية.
يشير هذا الرقم، الذي يمثل حوالي ثلث دخل كوريا الشمالية من العملات الأجنبية، إلى أن السرقة الإلكترونية قد أصبحت استراتيجية اقتصادية ذات سيادة. هذا يشير إلى أن القرصنة أصبحت جزءًا لا يتجزأ من الاقتصاد الكوري الشمالي.
تم إثبات فعالية هذا المتجه الهجومي “الطبقة البشرية” بشكل مدمر في فبراير 2025 خلال اختراق بورصة Bybit. في تلك الحادثة، استخدم المهاجمون الذين يُنسبون إلى مجموعة TraderTraitor بيانات اعتماد داخلية مخترقة لإخفاء التحويلات الخارجية كحركات أصول داخلية، واكتسبوا في النهاية السيطرة على عقد ذكي للمحفظة الباردة.
أزمة الامتثال
إن التحول نحو الهندسة الاجتماعية يخلق أزمة مسؤولية قانونية خطيرة لصناعة الأصول الرقمية. في وقت سابق من هذا العام، وثقت شركات الأمن مثل Huntress و Silent Push شبكات من الشركات الوهمية، بما في ذلك BlockNovas و SoftGlide، التي لديها تسجيلات شركات أمريكية صالحة وملفات تعريف LinkedIn موثوقة. تنجح هذه الكيانات في إقناع المطورين بتثبيت نصوص برمجية ضارة تحت ستار التقييمات الفنية.
بالنسبة لمسؤولي الامتثال وكبار مسؤولي أمن المعلومات، فقد تحول التحدي. تركز بروتوكولات “اعرف عميلك” (KYC) التقليدية على العميل، ولكن سير عمل Lazarus يتطلب معيارًا صارمًا لـ “اعرف موظفك”. هذا يتطلب تغييرًا في التركيز من العملاء إلى الموظفين.
بدأت وزارة العدل بالفعل في تشديد الرقابة، حيث استولت على 7.74 مليون دولار مرتبطة بهذه المخططات المتعلقة بتكنولوجيا المعلومات، لكن تأخر الكشف لا يزال مرتفعًا. كما أظهر نصب الكمين الذي قامت به BCA LTD، فإن الطريقة الوحيدة للقبض على هؤلاء الجهات الفاعلة قد تكون التحول من الدفاع السلبي إلى الخداع النشط، وإنشاء بيئات خاضعة للرقابة تجبر الجهات الفاعلة على التهديد على الكشف عن أساليبها قبل تسليمها مفاتيح الخزينة.
من المتوقع أن تواصل السلطات الدولية التعاون لتعطيل هذه الشبكات الإجرامية. سيستمر التركيز على تطوير أدوات وتقنيات جديدة للكشف عن هذه الهجمات ومنعها، بالإضافة إلى تعزيز بروتوكولات الامتثال في صناعة الأصول الرقمية. من المهم مراقبة التطورات في مجال الذكاء الاصطناعي وتأثيره على تكتيكات القرصنة، بالإضافة إلى الاستجابات التنظيمية لهذه التهديدات الناشئة.