Важное событие на международной арене безопасности и киберпреступности произошло в июле 2025 года: правительство США объявило о санкциях в отношении одного из членов северокорейской хакерской группы Andariel, связанной со знаменитой мошеннической схемой, эксплуатирующей удалённых IT-сотрудников. Это решение стало продолжением целого комплекса усилий по противодействию финансированию Северной Кореи с помощью киберпреступлений и иллегальных операций, способствующих развитию оборонных и ядерных программ страны. Санкции официально были введены Управлением по контролю за иностранными активами Министерства финансов США (OFAC). В центре внимания оказался Сон Кум Хёк, 38-летний гражданин Северной Кореи, проживающий в китайской провинции Цзилинь. По данным ведомства, он стал ключевым звеном в организации мошенничества, путем использования трудоустройства иностранных айтишников под ложными американскими идентификационными данными.
Между 2022 и 2023 годами Сон Кум Хёк, по обвинениям, применял украденные и сфабрикованные данные реальных американцев — включая имена, адреса и номера социального страхования — для создания поддельных личностей. Эти вымышленные идентичности затем использовались нанятыми удалёнными IT-работниками для получения легитимного трудоустройства в американских компаниях, при этом часть доходов направлялась обратно в Северную Корею. Одновременно с введением санкций против Сон Кум Хёка было сообщено о действиях Министерства юстиции США, в рамках которых был арестован один подозреваемый, а также конфискованы 29 финансовых счетов, 21 мошеннический веб-сайт и около 200 компьютеров. Этот пакет мер отражает масштабность и серьезность раскрытой инфраструктуры мошенничества. Также санкции коснулись российского гражданина Гайка Асатряна и нескольких связанных с ним компаний, которые предоставляли инфраструктуру для реализации схемы с удалёнными IT-работниками.
Его предприятия Asatryan LLC и Fortuna LLC, а также связанные северокорейские торговые корпорации Korea Songkwang Trading General Corporation и Korea Saenal Trading Corporation, участвовали в перемещении северокорейских IT-специалистов в Россию, где через подставные фирмы обеспечивалась легализация их трудовой деятельности. Это первый раз, когда один из членов Andariel (также известного как APT45, подразделение группы Lazarus) непосредственно связывается с операцией по удалённому найму IT-специалистов. Lazarus Group давно ассоциируется с разведывательным управлением Северной Кореи и является одним из самых известных и опасных кибершпионских и киберпреступных объединений в мире. По словам экспертов, таких как Майкл Барнхарт из DTEX, вмешательство Andariel в эту схему является лишь частью более широкой картины, где киберпреступность служит источником финансирования для расширенных военно-разведывательных программ режима Ким Чен Ына. Санкционирование таких лиц и организаций направлено не только на то, чтобы ударить по финансовым потокам, но и чтобы повысить общественное и международное понимание глубины вовлечённости кибероператоров из Северной Кореи в различные нелегальные операции.
Они включают, помимо мошеннического найма, кражу цифровых активов, распространение вредоносного программного обеспечения и сложные операции с криптовалютами. Одной из характерных черт схемы удалённого трудоустройства стало использование множества слоёв прикрытия и смешение юрисдикций — сотрудник может физически находиться в Китае, быть формально нанятым через компанию-«фронт» в Сингапуре и при этом обслуживать клиентов из США через европейских посредников. Такая многоступенчатая и транснациональная модель способствовала значительному усложнению расследований и пресечению деятельности преступников, делая международное сотрудничество обязательным. Отмечается, что North Korean IT worker scheme известна под несколькими кодовыми названиями, включая Nickel Tapestry, Wagemole и UNC5267. Её суть заключается в том, что северокорейские агенты путем маскировки и притворства пытаются легализовать свои доходы, получая зарплаты в американских компаниях, и затем переводят эти средства в криптовалюту, уходя от контроля международных финансовых органов.
Такое использование цифровых валют стало одним из ключевых инструментов обхода санкций, введённых против режима. По сведениям TRM Labs, Северная Корея ответственна примерно за 1,6 миллиарда долларов из общего объема более чем 2 миллиардов, украденных в результате криптовалютных взломов и эксплойтов в первой половине 2025 года, где особо выделяется крупное ограбление криптобиржи Bybit. Помимо экономической составляющей, такие кибершпионские операции расширяют возможности режима по сбору разведданных и внедрению в международные компании под прикрытием удалённой работы. Отдельно стоит упомянуть о распространении программных комплексов, таких как вредоносное ПО HappyDoor, используемое группой Kimsuky (также известной как APT-C-55). Данный бекдор действует с 2021 года и преимущественно атакует южнокорейские организации, внедряясь через целевые фишинговые кампании и позволяя злоумышленникам осуществлять сбор информации и запускать произвольные команды.
Такие атаки показывают многогранность и многоуровневость киберопераций Северной Кореи, объединяющей финансовые преступления, шпионаж и разрушительные действия. В ответ на эту угрозу представители Министерства финансов США, включая заместителя министра Майкла Фолкендера, подчеркнули решимость использовать все доступные средства для нейтрализации попыток уклонения от санкций, цифрового воровства и подделки американских личных данных. Усилия США дополняют действия других стран, демонстрирующих растущую готовность к совместным расследованиям и обмену разведынными сведениями для эффективной борьбы с транснациональной преступностью. Рост международного сотрудничества и формирования глобальных коалиций по борьбе с киберпреступностью и финансированием террористических и военно-политических режимов является ключевым фактором, способствующим сдерживанию угроз. В целом санкционные меры против Сон Кум Хёка и связанных с ним лиц раскрывают важный аспект современной кибербезопасности — как цифровые технологии могут быть использованы для глобального мошенничества и финансирования нелегальных задач государства.
