إليك كيف لا يزال قراصنة كوريا الشمالية يتلقون المدفوعات بالعملات المشفرة على الرغم من العقوبات

تقول TRM Labs إن عمال تكنولوجيا المعلومات الكوريين الشماليين قد غسّلوا ملايين الدولارات من USDC و USDT أثناء عملهم سراً لصالح الشركات الناشئة في مجال البلوك تشين.

تواصل كوريا الشمالية الاعتماد على العملات المشفرة لتمويل برامج أسلحتها بهدوء، وتقوم الحكومة الأمريكية بتكثيف جهودها لإيقاف ذلك. في 8 يوليو، فرض مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية عقوبات على هاكر كوري شمالي، سونغ كوم هيك، الذي يقولون إنه ساعد في تنظيم مخطط واسع النطاق يتضمن عمالاً عن بُعد مزيفين في شركات التكنولوجيا والعملات المشفرة التي لا تشك في شيء.

وفقًا لتقرير حديث من شركة TRM Labs المتخصصة في تحليل الجرائم الإلكترونية، كان سونغ مرتبطًا بوحدة أندرائيل، وهي وحدة جرائم إلكترونية تابعة للاستخبارات العسكرية لكوريا الشمالية. وقد أوضحوا أنه لعب دورًا رئيسيًا في توظيف العاملين في تكنولوجيا المعلومات - الذين كان معظمهم في الواقع عملاء كوريين شماليين - في وظائف بشركات أمريكية من خلال استخدام هويات أمريكية مسروقة ومستندات مزيفة.

العديد من هذه الوظائف كانت في ويب 3، بنية التشفير، أو تطوير البرمجيات المتعلقة بسلسلة الكتل.

قالت مختبرات TRM إن هؤلاء العمال كانوا يعملون من دول مثل الصين وروسيا بينما يتظاهرون بأنهم مستقلون مقيمون في الولايات المتحدة. لقد تم دفع أجورهم بالعملات المستقرة مثل USDC وUSDT. من هناك، يبدو أن الأموال قد تدفقت عبر طبقات من المحفظات والم mixers وخدمات التحويل قبل أن تنتهي في يد النظام الكوري الشمالي.

"تظل وزارة الخزانة ملتزمة باستخدام جميع الأدوات المتاحة لتعطيل جهود نظام كيم للالتفاف على العقوبات من خلال سرقة الأصول الرقمية، ومحاولة انتحال صفة الأمريكيين، والهجمات الإلكترونية الخبيثة."

نائب وزير الخزانة، مايكل فوكيندر

أشار المحللون في TRM Labs إلى أن هذه هي مجرد أحدث علامة على أن المكتب العام للاستطلاع في كوريا الشمالية - نفس الوكالة التي تقف وراء Lazarus و Bluenoroff - لا يزال يستخدم الأساليب الإلكترونية لدعم الأهداف العسكرية. ولاحظوا أن مسؤولي الخزانة قد حذروا من أن سرقة العملات المشفرة والاحتيال على الهوية لا تزال مركزية في استراتيجية كوريا الشمالية لتجنب الضغوط الاقتصادية.

شرح المحللون أن المخطط الذي كشفت عنه OFAC يعتمد بشكل كبير على الشخصيات المزيفة. وُجهت الاتهامات إلى سونغ بأنه كان مسؤولاً عن بناء تلك الهويات المزيفة، باستخدام بيانات مسروقة من مواطنين أمريكيين حقيقيين. بمجرد التوظيف، قد يكون عملاء كوريا الشمالية قد عملوا لعدة أشهر أو حتى سنوات في الشركات الأمريكية تحت أسماء مزيفة.

كما أشاروا إلى أن وزارة الخزانة الأمريكية فرضت عقوبات على أربع شركات وشخص آخر مرتبط بشبكة مقرها روسيا زُعم أنها ساعدت في إدارة هذه الوظائف الوهمية في مجال تكنولوجيا المعلومات. وذكرت التقارير أن هذه الشركات وقعت عقودًا طويلة الأجل مع شركات مرتبطة بكوريا الشمالية وكانت على علم بأنها تتعامل مع عمال شماليين.

استهدف العديد من العمال وظائف في قطاع العملات المشفرة بشكل خاص، حيث كان من الأسهل إخفاء المدفوعات. بمجرد استلام العملات المشفرة، قال محللو TRM Labs، تم توزيعها عبر عدة محافظ وفي النهاية تم تحويلها إلى عملة تقليدية باستخدام وسطاء OTC، بعضهم قد تم فرض عقوبات عليهم سابقًا.

التحالف السيبراني

تبع أحدث إجراء من OFAC سلسلة من التحركات المنسقة من قبل الوكالات الأمريكية، بما في ذلك وزارة العدل ومكتب التحقيقات الفيدرالي. في 5 يونيو 2025، قدمت وزارة العدل أيضًا شكوى مصادرة مدنية تسعى للاستيلاء على أكثر من 7.7 مليون دولار أمريكي من العملات المشفرة، وNFTs، وغيرها من الأصول الرقمية التي يُعتقد أنها مرتبطة بنفس الشبكة الكورية الشمالية.

تقول TRM Labs إن العمال استخدموا هويات مثل "جوشوا بالمر" و"أليكس هونغ" للحصول على وظائف في شركات ناشئة في مجال التشفير وغيرها من الشركات التقنية. تم دفع أجورهم بالعملات المستقرة، حيث تم توجيه العائدات عبر البورصات المركزية والمحافظ المستضافة ذاتيًا، ثم إلى شخصيات نظام أعلى مثل كيم سانغ مان وسيم هيون سوب، وكلاهما تحت عقوبات أمريكية بالفعل.

أظهرت تحقيقات وزارة العدل، وفقًا للمحللين، أن أجزاء من العملية اعتمدت على بنية تحتية مقرها روسيا والإمارات. وجد المحققون استخدام عناوين IP محلية ومستندات مزورة، مما ساعد العمال الكوريين الشماليين على إخفاء هوياتهم الحقيقية. وقالوا إن هذا يبرز مدى دولية المخطط.

النشاط على السلسلة المتعلق بمحافظ موظفي تكنولوجيا المعلومات في كوريا الشمالية | المصدر: مختبرات TRM أظهرت بيانات blockchain التي تمت مراجعتها بواسطة TRM أنه بمجرد وصول الأموال إلى محافظ متوسطة الحجم، تم تقسيم الأموال إلى أجزاء أصغر، وتم توجيهها عبر أدوات تعزز الخصوصية، وفي النهاية تم تحويلها إلى نقود عبر مكاتب OTC. وقد تم فرض عقوبات على أحد هؤلاء الوسطاء OTC بالفعل من قبل OFAC في أواخر عام 2024.

فيما يتعلق بجهود إنفاذ القانون، نجحت مكتب التحقيقات الفيدرالي ووكالات أخرى في مصادرة جزء من الأصول الرقمية المغسولة، بما في ذلك USDC و ETH وبعض الرموز غير القابلة للاستبدال ذات القيمة العالية. وصف المحللون هذه المصادرات كجزء من استراتيجية غسيل أموال أوسع تهدف إلى تفكيك مسار الأموال وجعل الكشف عنه أكثر صعوبة.

تقول شركة TRM Labs إن أحدث إجراء من الحكومة الأمريكية يرسل رسالة مفادها أن العملات المشفرة تظل قناة عالية المخاطر لتجنب العقوبات، خاصة عندما يتعلق الأمر بعمليات كوريا الشمالية. حذرت شركة تحليل البلوكشين من أن الشركات التي توظف مطورين عن بُعد - خاصة في مجال البلوكشين - تحتاج إلى توخي الحذر الإضافي في التحقق من الأشخاص الذين يتعاملون معهم حقًا.