Source et contexte: SEAL Intel publie une analyse détaillée décrivant une évolution des tactiques des « IT Workers » liés à la DPRK, qui agissent désormais comme recruteurs pour scaler l’accès à des comptes vérifiés sur des plateformes freelance et opérer sous des identités légitimes.

• Le rapport met en évidence l’émergence d’un modèle opérationnel en 8 étapes, partagé depuis 2024, où des profils DPRK passent du simple job-seeking au recrutement coordonné de « collaborateurs ». Objectif: obtenir des comptes vérifiés et des IP propres pour contourner les contrôles, tout en obscurcissant l’attribution et en maximisant les revenus.

• Modus operandi: contact initial sur GitHub/Upwork/Freelancer puis bascule vers Telegram/Discord; diffusion de scripts d’onboarding; création ou prise de contrôle de comptes; installation d’outils d’accès distant (ex. AnyDesk, Chrome Remote Desktop) pour travailler sous l’identité et l’IP de la victime; paiement 80/20 (80% à l’acteur, 20% au « collaborateur ») via crypto/PayPal; pivot vers d’autres identités en cas de blocage. Des photos manipulées par IA, des playbooks et des présentations PowerPoint structurent et standardisent ces opérations.

• Recrutement et ciblage: approche multi-canaux (plateformes freelance, fausses annonces « Virtual Assistant — Customer Support » sur Virtualstaff.ph et OnlineJobs.ph, communautés comme AbleHere, e‑Buddies, InterPals). Les cibles privilégiées incluent les États‑Unis, l’Europe et l’Asie, avec une occurrence notable d’individus en Ukraine et aux Philippines. Des campagnes d’emails de masse sont suivies via Mailtrack.

• Récolte d’identités et KYC: exigence de PII, documents d’identité et coordonnées bancaires; stockage systématique des justificatifs; fort volume d’IDs de femmes ukrainiennes; usage de Verif.tools pour générer de faux documents, en complément d’identités légitimes « prêtées » ou volées. Des canaux financiers variés sont utilisés (crypto, PayPal, comptes bancaires), et des cas concrets montrent des livrables (ex. plans CAD se réclamant de standards d’Illinois) fournis sous fausse identité.

• Infrastructures et moyens observés: recours à VPN/proxies, RMM, services SMS/numéros jetables, plateformes d’apprentissage et d’outillage dev, ainsi qu’un vaste écosystème de sites et services légitimes instrumentalisés. Le rapport conclut à une campagne coordonnée et institutionnalisée visant le contournement des contrôles, l’expansion de l’accès et la génération de revenus pour la DPRK.

IOCs/TTPs:

  • TTPs (exemples):
    • 🎣 Social engineering de « collaboration » et recrutement frauduleux sur plateformes et communautés ciblées
    • Prise de contrôle de comptes via RMM (AnyDesk, Chrome Remote Desktop) et travail sous identité/IP de la victime
    • Bascule hors‑plateforme (Telegram, Discord) pour éviter la modération et partager des scripts
    • Collecte de PII/KYC et usurpation d’identité; génération de faux documents via Verif.tools; photos modifiées par IA
    • Blanchiment de revenus: split 80/20, paiements en crypto/PayPal/banque; usage de facilitateurs
    • VPN/Proxies, numéros SMS jetables, email tracking (Mailtrack), fausses annonces d’emploi
  • Services/infra exploités (extraits): Upwork, Freelancer, Fiverr, RandstadUSA, GitHub; Telegram, Discord; AnyDesk, Chrome Remote Desktop; proxy6.net, iproyal.com; smspva.com; mailtrack.io; cwallet.com; Verif.tools.

Type d’article: analyse de menace visant à documenter un playbook opérationnel et ses vecteurs, avec preuves, cas, et recommandations.

🧠 TTPs et IOCs détectés

TTP

[‘Social engineering de collaboration et recrutement frauduleux sur plateformes et communautés ciblées’, ‘Prise de contrôle de comptes via RMM (AnyDesk, Chrome Remote Desktop) et travail sous identité/IP de la victime’, ‘Bascule hors-plateforme (Telegram, Discord) pour éviter la modération et partager des scripts’, “Collecte de PII/KYC et usurpation d’identité; génération de faux documents via Verif.tools; photos modifiées par IA”, ‘Blanchiment de revenus: split 80/20, paiements en crypto/PayPal/banque; usage de facilitateurs’, “VPN/Proxies, numéros SMS jetables, email tracking (Mailtrack), fausses annonces d’emploi”]

IOC

[‘Upwork’, ‘Freelancer’, ‘Fiverr’, ‘RandstadUSA’, ‘GitHub’, ‘Telegram’, ‘Discord’, ‘AnyDesk’, ‘Chrome Remote Desktop’, ‘proxy6.net’, ‘iproyal.com’, ‘smspva.com’, ‘mailtrack.io’, ‘cwallet.com’, ‘Verif.tools’]

🔗 Source originale : https://radar.securityalliance.org/from-north-korean-it-workers-to-it-recruiters