كشف مذهل: هاكر مضاد يفضح شبكة كورية شمالية تجني ملايين الدولارات شهريًا من وظائف تقنية مزيفة وعمليات احتيال مشفرة

في تطور مثير للقلق يكشف عن أساليب جديدة للاحتيال في عالم العملات الرقمية، تمكن هاكر مجهول من اختراق أجهزة مجموعة من عمال تكنولوجيا المعلومات الكوريين الشماليين، كاشفًا عن شبكة واسعة النطاق جنوا من خلالها أكثر من 3.5 مليون دولار في غضون بضعة أشهر. وقد تم تنسيق هذه المدفوعات المشفرة عبر خادم يستخدم كلمة مرور سهلة التخمين "123456"، وفقًا للوثائق المسربة التي شاركها المحقق الشهير في البلوكتشين ZachXBT.

الكشف عن شبكة "جيري" وأرباحها الخفية

أفادت البيانات المسربة، التي حصل عليها الهاكر المجهول ونشرها ZachXBT على منصة X يوم الأربعاء، أن أحد عمال تكنولوجيا المعلومات، المعروف باسم "جيري"، وفريقه المكون من 140 عضوًا، كانوا يحققون ما يقرب من مليون دولار شهريًا، مما يمثل 3.5 مليون دولار من العملات المشفرة منذ أواخر نوفمبر. وقد قام هؤلاء العمال الكوريون الشماليون بتنسيق مدفوعاتهم على موقع إلكتروني يدعى "luckyguys.site" باستخدام كلمة مرور مشتركة، وهي "123456". وأشار ZachXBT إلى أن بعض المستخدمين على هذه المنصة يبدو أنهم يعملون لصالح شركات مثل Sobaeksu و Saenal و Songkwang، وهي كيانات تخضع لعقوبات من مكتب مراقبة الأصول الأجنبية الأمريكي (OFAC).

تحويل الأموال وروابط مشبوهة

لم تقتصر أنشطة هذه الشبكة على جمع العملات المشفرة فحسب، بل امتدت لتشمل تحويل هذه المدفوعات إلى عملات ورقية وإرسالها إلى حسابات بنكية صينية عبر منصات الدفع الإلكترونية مثل Payoneer. كما كشفت عملية تتبع محافظ العملات الرقمية هذه عن روابط بمحافظ كورية شمالية أخرى معروفة، والتي تم إدراجها في القائمة السوداء من قبل شركة Tether في ديسمبر الماضي، حسبما أفاد ZachXBT. هذه الروابط تؤكد على الطبيعة الممنهجة والمنظمة لهذه العمليات التي تهدف إلى التهرب من الرقابة المالية الدولية.

تكتيكات الاحتيال وتزوير الهوية

استخدمت الشبكة تكتيكات معقدة لتزوير الهوية والحصول على وظائف تقنية. فقد كشف ZachXBT عن استخدام "جيري" لشبكة افتراضية خاصة (VPN) من نوع Astrill للوصول إلى Gmail، حيث أرسل العديد من طلبات التوظيف لوظائف مطور برامج (Full-stack developer) ومهندس برمجيات على منصة Indeed. وفي رسالة بريد إلكتروني غير مرسلة، كتب "جيري" خطابًا للتقدم لوظيفة متخصص في محتوى وتهيئة محركات البحث (SEO) لموقع WordPress في شركة لإنتاج القمصان في تكساس، طالبًا 30 دولارًا في الساعة مع توفر من 15 إلى 20 ساعة عمل أسبوعيًا. وشملت عمليات التزوير أيضًا وثائق الهوية، حيث قام أحد عمال تكنولوجيا المعلومات، الملقب بـ "راسكال" (Rascal)، بمشاركة صور لكشوف حسابات بنكية باستخدام اسم مزيف وعنوان مزيف في هونغ كونغ، وصورة لجواز سفر أيرلندي، وإن لم يتضح ما إذا كان قد تم استخدامه بالفعل.

التهديد المستمر للصناعة وعمليات الاختراق السابقة

يواصل الفاعلون السيئون من كوريا الشمالية وبلدان أخرى تهديد صناعة العملات المشفرة بتكتيكات متطورة بشكل متزايد لتنفيذ عمليات الاختراق والاحتيال. وقد سرق عمال تدعمهم الدولة الكورية الشمالية أكثر من 7 مليارات دولار من الأموال منذ عام 2009، وجاء جزء كبير من ذلك من مشاريع العملات المشفرة. ومن أبرز هجماتهم اختراق بورصة Bybit بقيمة 1.4 مليار دولار واختراق جسر Ronin بقيمة 625 مليون دولار. كما اتُهم المتسللون الكوريون الشماليون بالمسؤولية عن اختراق بروتوكول Drift Protocol بقيمة 280 مليون دولار في الأول من أبريل.

مقارنة بمجموعات الاختراق الأكثر تعقيدًا

على الرغم من حجم الأرباح التي حققتها هذه المجموعة، أشار ZachXBT إلى أن عمال تكنولوجيا المعلومات الكوريين الشماليين الذين تم الكشف عن بياناتهم كانوا أقل تعقيدًا مقارنة بمجموعات كورية شمالية أخرى مثل AppleJeus و TraderTraitor، والتي "تعمل بكفاءة أكبر بكثير وتشكل أكبر المخاطر على الصناعة". وقد أظهرت البيانات المسربة لوحة صدارة توضح مقدار العملات المشفرة التي جلبها كل عامل للمنظمة منذ 8 ديسمبر، مع روابط لصفحات مستكشف البلوكتشين التي تعرض تفاصيل المعاملات.

تؤكد هذه الواقعة على الحاجة الملحة لتعزيز الإجراءات الأمنية واليقظة المستمرة في قطاع العملات الرقمية لمواجهة التهديدات المتزايدة من الجهات الخبيثة. ومع استمرار كوريا الشمالية في استغلال التقنيات الحديثة لتمويل برامجها، يصبح الكشف عن مثل هذه الشبكات خطوة حاسمة في حماية نزاهة وأمن النظام البيئي الرقمي.