Az orosz infrastruktúra szerepe az észak-koreai kibertevékenységekben
A Trend Micro blogbejegyzése azt tárgyalja, hogy az Észak-Koreához kapcsolódó kibertevékenységek és kampányok egy része öt orosz IP-tartományból származik. Ezeket az IP-tartományokat egy VPN-réteg, egy proxy-réteg vagy egy RDP-réteg rejti el. Ezeket a tartományokat két szervezethez kötik az oroszországi Khasanban és Habarovszkban. Ezek a tevékenységek a Void Dokkaebi-hoz, más néven Famous Chollima-hoz kapcsolódnak. Khasan egy mérföldre van az észak-koreai-orosz határtól, Habarovszk pedig az Észak-Koreával való gazdasági és kulturális kapcsolatairól ismert.
A Trend Micro elemzői úgy értékelik, hogy az Észak-Koreához köthető kampányok más országok internetes infrastruktúráját is használják. Észak-Koreában a nemzeti hálózathoz mindössze 1024 IP-cím van hozzárendelve, mégis jelentős az ország szerepe a kiberbűnözésben. A nemzetközi bűnüldöző szervek több nagy horderejű akciót nyilvánosan észak-koreai szereplőknek tulajdonítottak, az egyik legutóbbi a 1,5 milliárd dolláros Bybit-hack volt. Természetesen ahhoz, hogy a kiberbűnözés az Észak-Koreának tulajdonított szintre emelkedjen, sokkal több internetes erőforrásra van szükség, mint az 1024 IP-cím. Ennek egyik módja, hogy sok személyt külföldre küldenek vagy ott alkalmaznak. A Trend Micro telemetriája határozottan arra utal, hogy ezek a KNDK-hoz köthető IT-dolgozók többek között Kínából, Oroszországból és Pakisztánból dolgoznak. Ezenkívül nagy kiterjedésű anonimizálási hálózatokat használnak az Észak-Koreához köthető kampányok és azok forgalmának elrejtésére, így megnehezítve az attribúciót.
A Trend Research értékelése szerint az Észak-Koreával szövetséges szereplők az orosz IP-tartományokat arra használják, hogy RDP-n keresztül több tucat VPS-kiszolgálóhoz csatlakozzanak, majd olyan kibertevékenységeket végezzenek, mint az álláskereső oldalakon való interakció vagy a kriptovalutákkal kapcsolatos szolgáltatások elérése. A kriptopénztárcák jelszavainak feltörésére irányuló brute-force tevékenységekben részt vevő néhány szerver az orosz IP-tartományok egyikéhez tartozik.
A Google M-Trends 2025 jelentése is kiemelte az Észak-Koreához köthető IT-munkavállalói kibertevékenységeket, amelyek során állampolgárokat alkalmaznak távoli szerződéses IT vállalkozóként, akik hamis személyazonosságot használnak, hogy bevételhez jussanak és így finanszírozzák a nemzeti érdekeket. Számos hír jelent meg a Yanac-on is az észak-koreai IT munkavállalói kampányokkal kapcsolatban.
A Trend Micro megosztotta az elemzések során azonosított IOC-kat.
