Severokorejští pracovníci vystupující jako vzdálení IT specialisté měli podle nově zveřejněných zjištění během několika měsíců získat miliony dolarů, a to nejen díky práci pod falešnou identitou, ale i pokusům pronikat do kryptoměnových projektů. Data měla pocházet z kompromitovaného zařízení jednoho z členů této sítě a na veřejnost je upozornil známý blockchainový analytik ZachXBT. Případ znovu ukazuje, jak významnou hrozbu pro kryptosektor představují organizované skupiny napojené na Severní Koreu.
Uniklá data odhalila rozsah celé operace
Podle dokumentů, které získal nejmenovaný hacker po nabourání zařízení jednoho z operativců, fungovala skupina severokorejských IT pracovníků jako dobře organizovaná síť lidí vydávajících se za vývojáře. Jeden z nich, označovaný jako Jerry, měl být součástí týmu o zhruba 140 členech. Tato skupina měla generovat přibližně 1 milion dolarů měsíčně, přičemž od konce listopadu údajně nashromáždila kolem 3,5 milionu dolarů v kryptoměnách. Informace následně sdílel na síti X analytik ZachXBT, který se dlouhodobě věnuje mapování podezřelých toků digitálních aktiv. Zveřejněné materiály naznačují, že nešlo o izolovanou aktivitu jednotlivců, ale o koordinovaný model získávání příjmů a přístupu k citlivým firemním systémům.
Platby měly proudit přes jednoduchou infrastrukturu
Vyšetřování ukázalo, že členové skupiny měli koordinovat kryptoměnové platby přes web luckyguys.site. Zvláštní pozornost vyvolal fakt, že přístup k této infrastruktuře měl být chráněn sdíleným a velmi slabým heslem 123456. Podle ZachXBT se na této platformě mohli pohybovat i lidé spojení se subjekty Sobaeksu, Saenal a Songkwang, které figurují na sankčním seznamu amerického Úřadu pro kontrolu zahraničních aktiv OFAC. To posiluje podezření, že získané prostředky mohly souviset s širší severokorejskou sítí financování. Zároveň to ukazuje kontrast mezi jednoduchým technickým zabezpečením části operace a závažností jejích dopadů.
Převod krypta do fiat měn vedl přes čínské účty
Podle zveřejněných informací byly přijaté kryptoměny následně převáděny do běžných měn a odesílány na bankovní účty v Číně. K tomu měly sloužit online platební platformy včetně služby Payoneer. Analýza peněženek navíc podle ZachXBT odhalila vazby na další známé severokorejské adresy, které společnost Tether zařadila na blacklist už v prosinci. Napojení na dříve označené peněženky je důležité, protože pomáhá vyšetřovatelům skládat širší obraz finanční infrastruktury používané k přesunu prostředků. V praxi to znamená, že zdánlivě běžné pracovní příjmy mohly být součástí složitějšího systému praní a redistribuce financí.
Severní Korea zůstává jednou z největších hrozeb pro kryptoprůmysl
Případ zapadá do dlouhodobého trendu, kdy jsou aktéři spojovaní se Severní Koreou opakovaně dáv áni do souvislosti s rozsáhlými krádežemi digitálních aktiv. Podle dřívějších odhadů mají severokorejští státem podporovaní operativci od roku 2009 odcizit více než 7 miliard dolarů, přičemž významná část těchto peněz pochází právě z kryptoměnového sektoru. Mezi nejznámější incidenty patří útok na burzu Bybit za 1,4 miliardy dolarů nebo hack Ronin Bridge, kde škoda dosáhla 625 milionů dolarů. Severokorejští hackeři byli rovněž spojováni i s útokem na Drift Protocol, při němž mělo zmizet 280 milionů dolarů. Nejnovější únik tak není jen kuriózním příběhem o falešných životopisech, ale dalším důkazem, že pracovní infiltrace firem může být předstupněm širších kybernetických útoků.
Interní žebříček ukazoval, kdo přináší nejvíce krypta
Jedním z nejzajímavějších zjištění bylo odhalení interního žebříčku, v němž se sledovalo, kolik kryptoměn jednotliví pracovníci pro organizaci vydělali od 8. prosince. Součástí systému měly být i odkazy na blockchainové průzkumníky, kde bylo možné ověřit konkrétní transakce. To naznačuje, že celá operace měla prvky výkonnostního řízení podobné běžným firmám, jen v prostředí nelegální nebo sankčně problematické činnosti. Transparentní interní evidence příjmů zároveň ukazuje, že skupina pečlivě měřila efektivitu svých členů a vyhodnocovala jejich přínos. Pro analytiky je tento typ důkazů cenný, protože propojuje identity, peněženky a konkrétní finanční toky.
Falešné pracovní žádosti mířily i na běžné firemní pozice
Další zveřejněné materiály naznačují, že Jerry používal VPN službu Astrill k přístupu do Gmailu, odkud odesílal žádosti o práci přes portál Indeed. Uch ázel se o pozice full-stack vývojáře i softwarového inženýra, tedy o role, které mohou přinášet přístup k interním systémům, repozitářům kódu nebo provozní infrastruktuře. V jednom neodeslaném e-mailu se navíc objevil i motivační dopis na pozici specialisty na WordPress obsah a SEO pro firmu prodávající trička v Texasu. V něm měl žádat odměnu 30 dolarů za hodinu při rozsahu 15 až 20 hodin týdně. To ukazuje, že tito operativci se neomezovali jen na vysoce technické blockchainové firmy, ale zkoušeli pronikat i do zcela běžných podniků, kde mohli získat legitimně působící pracovní historii a další důvěryhodnost.
Součástí schématu byly i padělané doklady
Uniklá data rovněž ukázala používání falešných identifikačních dokumentů. Jeden z pracovníků vystupující pod přezdívkou Rascal měl sdílet snímky vyúčtování s falešným jménem a nepravdivou adresou v Hongkongu. Objevit se měl také obrázek irského pasu, i když není jisté, zda byl skutečně použit při některé z pracovních žádostí nebo ověřovacích procesů. Padělání identity je přitom klíčovým prvkem podobných operací, protože umožňuje obejít personální kontrolu i základní compliance procedury. V kombinaci s prací na dálku a globálními freelancovými platformami jde o model, který je pro zaměstnavatele stále obtížnější včas odhalit.
Nešlo o nejsofistikovanější skupinu, riziko je přesto vysoké
ZachXBT upozornil, že tato konkrétní skupina podle všeho nebyla tak technicky vyspělá jako jiné známé severokorejské operace typu AppleJeus nebo TraderTraitor. Právě ty jsou podle něj efektivnější a představují pro kryptoprůmysl ještě větší riziko. To však nesnižuje význam aktuálního odhalení. Naopak se ukazuje, že i méně sofistikované týmy mohou díky množství členů, falešným identitám a jednoduché organizační disciplíně generovat vysoké příjmy a současně otevírat dveře k dalším útokům. Hrozbou tak není jen špičkový malware, ale i trpělivá infiltrace přes pracovní trh.
Co si z případu mají odnést kryptofirmy
Pro kryptoměnové společnosti je tento případ varováním, že bezpečnost nekončí u ochrany privátních klíčů nebo smart kontraktů. Stejně důležitá je důsledná kontrola zaměstnanců, kontraktorů a externích vývojářů, kteří mohou získat přístup k citlivým datům nebo produkční infrastruktuře. Firmy by měly věnovat větší pozornost ověřování identity, historii pracovních zkušeností, geolokačním nesrovnalostem i podezřelému používání VPN. Přínosné může být také průběžné monitorování onchain aktivit adres spojených s odměnami nebo firemními platbami. Kombinace personální bezpečnosti a blockchainové analytiky se v době rostoucích státem podporovaných operací stává nezbytností.
Celá kauza ukazuje, že moderní kybernetická kriminalita v kryptu se neodehrává jen prostřednictvím přímých útoků na protokoly a burzy. Stále častěji jde o propojení sociálního inženýrství, falešných pracovních identit, finančního maskování a postupného získávání důvěry uvnitř firem. Pokud se zveřejněná zjištění potvrdí, jde o další důkaz, že Severní Korea nadále rozšiřuje své metody financování i infiltrace digitální ekonomiky. Pro celý sektor je proto zásadní nepodceňovat ani zdánlivě běžné náborové procesy.
