В LinkedIn появились фальшивые северокорейские IT‑специалисты

Специалисты по кибербезопасности зафиксировали новую изощрённую тактику злоумышленников, которые используют LinkedIn для созданий фальшивых профилей IT‑специалистов из Северной Кореи и проникновения в реальные компании через удалёнку. Об этом сообщает ^[1] IT Pro со ссылкой на организацию Security Alliance (SEAL). 

По данным SEAL, такую деятельность связывают с оперативниками из КНДР, которые таким образом реализуют государственную схему Северной Кореи по получению доходов и обходу международных санкций. Удалённые «работники» устраиваются на реальные должности в западных компаниях и получают зарплату, а затем переводят доход на счета, контролируемые через посредников и криптовалюту, что в конечном итоге приносит иностранную валюту в экономику КНДР. 

Об этой схеме в январе прошлого года рассказывало ^[2] также ФБР. Тремя месяцами позже отчёт о таких северокорейских «IT‑воинах» представили исследователи кибербезопасности из Google Threat Intelligence Group (GTIC) — они сообщили ^[3], что специалисты нацелились на компании в Германии, Португалии и Великобритании. А в конце 2025-го одного из таких специалистов удалось ^[4] поймать в IT‑отделе Amazon, причём его обнаружению поспособствовала задержка при вводе клавиш, которая составляла 110 мс. 

Выводы SEAL о том, что речь идёт не о случайных мошенниках, а именно оперативниках КНДР, основаны на анализе тактики, инфраструктуры и шаблонов поведения ^[5], которые совпадают с давно задокументированной схемой «удалённых работников» из КНДР. По этой схеме операторы используют поддельные или похищенные цифровые личности для трудоустройства в компании. Операции КНДР, считают в SEAL, сочетают технологии социального инжиниринга, сгенерированные с помощью ИИ изображения и видеоинтервью. Кроме того, утверждают в организации, для этих профилей также характерно использование инфраструктуры, свойственной северокорейским злоумышленникам, включая скрытые VPN‑соединения и прокси‑сервисы, часто используемые КНДР. 

Помимо вывода зарплаты через криптовалюты и международные сервисы переводов, такие злоумышленники способны устанавливать вредоносное ПО, похищать интеллектуальную собственность и сохранять длительный доступ к корпоративной сети, что представляет стратегическую угрозу для бизнеса. В SEAL говорят, что подобные фейковые заявки на работу и профили специалистов уже давно наблюдаются на западных рынках труда, однако их количество значительно возросло в последние месяцы. Кроме того, усложнилась и схема подделки личности — «специалисты» не только создают тщательно продуманные профили, но и создают видимость присутствия на других профессиональных ресурсах вроде GitHub. 

Похожую оценку ситуации высказывает и Даррен Гуционе — гендиректор компании Keeper Security, которая специализируется на кибербезопасности. По его словам, этот тренд следует считать серьёзным эскалационным риском для корпоративной безопасности, особенно в свете развития генеративного искусственного интеллекта ^[6].