Группа Andariel. Как северокорейцы находят работу в зарубежных IT-компаниях

Управление по контролю за иностранными активами (OFAC) Минфина США внесло в санкционный список гражданина Северной Кореи Сон Гым Хёка. GetBlock AML Research объясняет, почему этот человек привлек внимание американских властей.

Группа Andariel

В OFAC считают, что Сон Гым Хёк создал и организовал успешную деятельность специальной группы Andariel. Группа состоит из северокорейских IT-специалистов, которые под видом граждан других стран внедрялись на работу в крупные компании, а полученные доходы передавали в пользу северокорейского правительства. Участники группировки использовали поддельные персональные данные для маскировки.

Часть группы Andariel физически находилась в Китае и России. OFAC ввело санкции против одного физического лица и четырех организаций из России, которые помогали членам группы вести незаконную деятельность.

Российский след

Под американские санкции за помощь северокорейской группировке Andariel попал гражданин России Гайк Асатрян и подконтрольные ему компании (ООО “Асатрян” и ООО “Фортуна”). В общей сложности организации Асатряна наняли более 80 северокорейских IT-специалистов, которые были привезены в Россию.

Цели Andariel

Согласно расследованию OFAC, группировка IT-специалистов нацеливается преимущественно на крупные технологические организации и блокчейн-компании. Власти США оценивают, что на данный момент в крупные компании по всему миру могут быть внедрены тысячи сотрудников из Северной Кореи. Чтобы скрыть свое настоящее происхождение они используют поддельные либо украденные документы, VPN и прокси-серверы.

Передача дохода в пользу северокорейского правительства происходит с использованием стейблкоинов USDC и USDT через сложную схему запутывания блокчейн-цепочки. Сон Гым Хёк выступал куратором группы Andariel и отвечал за создание поддельных личностей, а также за кражу персональных данных граждан США.

Следы в блокчейне

Ограничительные меры против Сон Гым Хёка и его группы последовали после того, как американскими властями была обнаружена одна из ячеек Andariel, которая пыталась скрыть криптовалютные переводы на $7,7 млн. Также были выявлены члены группы, которые работали в крупных компаниях с поддельными документами на имена Джошуа Палмер и Алекс Хонг.

С использованием одноразовых адресов, кроссчейн-мостов и централизованных бирж криптовалюта переводилась высокопоставленным должностным лицам КНДР (Ким Сан Ману и Сим Хён Сопу), которые уже находятся под американскими санкциями. Для осуществления незаконной деятельности группа Andariel использует технологическую инфраструктуру России и ОАЭ.

Структура переводов на кошельки Ким Сан Мана и Сим Хён Сопа.

Данные: TRM Labs

Обнаруженные OFAC $7,7 млн, полученные северокорейскими мошенниками от американских работодателей, были изъяты правоохранительными органами. Минфин США обратился в Министерство юстиции с требованием передать изъятые средства в государственное пользование.

Ранее GetBlock AML Research уже оповещал читателей об опасности северокорейских хакеров, которые выдают себя за IT-специалистов. Хакеры из КНДР под видом квалифицированных специалистов устроились в компанию создателя мема Pepe Мэтта Фьюри, получили доступ к смарт-контрактам нескольких проектов и вывели из них активы.