Fraude au travail motivée par des emplois éloignés de l'IV qui financent la Corée du Nord et les sanctions du Trésor

Le Bureau du contrôle des avoirs étrangers du Département du Trésor des États-Unis (OFAC) a pris une mesure ferme contre une opération d'ingénierie sociale et de fraude au travail liée à la Corée du Nord, qui, selon les autorités, sert à générer des revenus illicites qui alimentent les programmes d'armes de destruction massive. Dans sa déclaration, le Trésor détaille les sanctions économiques contre plusieurs personnes et organisations impliquées dans ce qui est connu dans la communauté de la sécurité comme le «Coral Sleet / Jasper Sleet», «PurpleDelta» ou «Wagemole». Pour le Trésor, c'est un réseau qui utilise des emplois éloignés comme façade pour voler des données, laver de l'argent et payer la dictature nord-coréenne, et sa note officielle offre plus de contexte sur ces mesures ( État du Département de la trésorerie).

Ce qui rend ce cas particulièrement frappant est non seulement la sophistication technique, mais le mélange des techniques de fraude traditionnelles avec des outils modernes animés par l'intelligence artificielle et les services d'anonymat sur le réseau. Selon des rapports d'entreprises de cybersécurité, les acteurs ont inventé des identités ou usurpé des données personnelles réelles pour gérer et obtenir des positions techniques dans des entreprises du monde entier. Une partie importante des salaires sont ensuite détournés vers des réseaux de conversion de devises et de cryptomonéda, et dans certains épisodes, des programmes même malveillants ont été déployés pour extraire la propriété intellectuelle ou extorquer des victimes avec des fuites d'information.

Les entités sanctionnées comprennent la célèbre Amnokgang Technology Development Company, à laquelle les autorités attribuent la gestion des délégations des travailleurs de l'informatique à l'étranger et l'acquisition illégale de technologies militaires et commerciales. Des intermédiaires sont également identifiés au Vietnam, comme la société Quangvietdnbg International Services Company Limited et son directeur, auxquels ils attribuent des opérations de conversion de fonds - y compris des conversions en cryptomonedas pour plusieurs millions de dollars - qui faciliteraient le flux des ressources vers Pyongyang.

Les noms des personnes impliquées sont dispersés dans la recherche : des animateurs qui ouvrent et gèrent des comptes bancaires et des portefeuilles critiques aux coordonnateurs qui gèrent eux-mêmes les travailleurs éloignés. Il s ' agit notamment de Nguyen Quang Viet, Do Phi Khanh et Hoang Van Nguyen pour leur rôle dans la logistique financière, et d ' agents techniques tels que Yun Song Guk, qui auraient dirigé des groupes de travail de l ' étranger. L'OFAC et d'autres chercheurs ont établi ces chaînes financières et opérationnelles dans le cadre de la tentative d'interrompre le mécanisme de génération de revenus non déclaré du régime nord-coréen.

La couche technique de l'opération est remarquable pour son pragmatisme. Plusieurs rapports de sécurité ont documenté l'utilisation de services VPN capables de supprimer les pare-feu nationaux pour masquer l'emplacement réel des employés. Un cas signalé par la firme LevelBlue indique l'utilisation d'Astril VPN pour régler le trafic et aller sur Internet par des nœuds américains, ce qui permet de rendre les start-ups légitimes du point de vue des systèmes de détection des entreprises contractantes ( analyse du niveau bleu).

Parallèlement, l'intelligence artificielle a considérablement réduit le coût et la complexité de la création d'identités numériques crédibles. Des chercheurs de Microsoft et d'autres groupes ont mis en garde contre l'utilisation de modèles d'IA pour produire des histoires de travail, écrire des communications persuasives et, de manière inquiétante, générer ou manipuler des images de visage pour les placer dans des documents volés. Des outils et des services de type Faceswap qui permettent la génération de portraits professionnels sont utilisés pour donner une apparence plus forte au curricule et aux faux profils présentés aux recruteurs ou aux portails d'emploi ( Rapport Microsoft sur l'IA en tant que technique opérationnelle).

Mais l'IA ne reste pas dans le maquillage de profil: il ya des indications que les acteurs malveillants utilisent des capacités d'agent pour automatiser la création de faux sites Web, affiner les logiciels malveillants et même se moquer des restrictions de modèle de langue pour agir plus autonome. Cette combinaison de persistance humaine et d'automatisation fait de ces opérations une menace peu coûteuse et de haute performance, capable d'être infiltrée pendant des mois ou des années si elle n'est pas remarquée.

Le fonctionnement interne du réseau surprend également sa division du travail et son intégration avec des partenaires extérieurs. Les recruteurs préparent des entrevues et des séances d'enregistrement; les facilitateurs conçoivent des personnalités numériques et gèrent le recrutement; les collaborateurs occidentaux - parfois sans le savoir, parfois avec leur consentement - abandonnent des identités ou des documents qui permettent ensuite aux faux employés de surmonter les vérifications et de recevoir du matériel corporatif. Un document technique partagé par Flare et avec les contributions d'IBM X-Force décrit cet écosystème et détaille les outils de travail allant des feuilles de temps aux demandes de suivi aux messages décentralisés pour la coordination interne ( Rapport sur la menace).

Les tentatives d'infiltration ne prospèrent pas toujours. Dans l'un des cas détectés par une entreprise de sécurité, un candidat engagé pour travailler à distance sur la plateforme Salesforce a été licencié peu après que les dossiers ont montré que la session persistante commence depuis la Chine et d'autres indicateurs incompatibles avec un travailleur national. Cet épisode illustre que des contrôles et une surveillance appropriés sur les modèles d'accès peuvent couper les opérations malveillantes dans les premiers stades.

Face à ce phénomène, les recommandations des experts portent sur le traitement de ces fraudes comme un risque interne, c'est-à-dire comme si elles étaient employées avec des titres de compétence légitimes qui peuvent causer des dommages si leur activité n'est pas surveillée. Cela nécessite l'observation au début de la session, la détection de modèles « faibles et lents » dans l'exfiltration des données, des contrôles stricts à bord et une vérification accrue des identités et des emplacements. Il convient également de revoir les politiques sur les VPN et les nœuds de sortie, ainsi que de développer des capacités pour détecter les signaux IA dans les images et les textes accompagnants.

En fin de compte, les sanctions annoncées par le Trésor visent à réduire les flux financiers et à isoler les facilitateurs qui permettent ce régime. Mais la leçon plus large pour les entreprises et les responsables de la sécurité est que les frontières traditionnelles entre la fraude, l'espionnage économique et la cybercriminalité sont devenues floues: aujourd'hui, un poste vacant dans Linked Peut-être la porte d'entrée d'un réseau d'extraction de propriété intellectuelle et d'un circuit de financement illicite aux conséquences géopolitiques.

Le suivi, le renforcement des contrôles et une compréhension actualisée du rôle de l'AI dans la fraude au travail sont essentiels réduire l'exposition. Tant les organismes publics que l'industrie privée partagent la responsabilité de détecter ces techniques et de prendre des mesures pour empêcher que l'emploi à distance ne devienne un système de paiement secret pour les régimes sanctionnés.