Живые прокси: как Lazarus превращает разработчиков в подставных сотрудников

Совместное расследование под руководством Мауро Элдрича, основателя BCA LTD, проведенное вместе с инициативой NorthScan в области анализа угроз и сервисом интерактивного анализа вредоносного ПО ANY.RUN, раскрыло одну из самых популярных схем мошеннического трудоустройства: сеть удаленных IT-работников, связанных с подразделением Lazarus Group под названием Famous Chollima.

Впервые исследователям удалось наблюдать за операторами в реальном времени, записывая их активность на устройствах, которые злоумышленники считали настоящими ноутбуками разработчиков. На самом деле эти машины были полностью контролируемыми песочницами ANY.RUN.

Вас нанимают — и получают доступ к вашему устройству

Операция началась, когда Хайнер Гарсия из NorthScan притворился американским разработчиком, которого пытался завербовать рекрутер Lazarus под псевдонимом «Aaron» (также известный как «Blaze»).

Выдавая себя за подрядчика, занимающегося трудоустройством, Blaze пытался нанять фальшивого разработчика как подставное лицо — известная тактика Chollima, позволяющая встраивать северокорейских IT-работников в западные компании, в частности в сферы финансов, криптоиндустрии, здравоохранения и инженерии.

Сценарий шел по знакомой схеме:

• одолжить чужую личность
• пройти собеседования с помощью ИИ-инструментов и готовых ответов
• работать удаленно через ноутбук жертвы
• переводить зарплату в КНДР

Когда Blaze запросил полный доступ — включая SSN (номер соцстрахования), удостоверение личности, LinkedIn, Gmail и круглосуточное использование ноутбука — команда исследователей ИБ перешла ко второй фазе.

Ловушка: «ферма ноутбуков», которой не существовало

Вместо настоящего ноутбука Мауро Элдрич из BCA LTD развернул виртуальные машины ANY.RUN, настроенные так, что они выглядели как полноценные персональные рабочие станции с историей использования, инструментами разработки и прокси с маршрутизацией через жилые адреса в США.

Команда также могла принудительно вызывать сбои, ограничивать соединение и записывать каждое действие операторов, не выдавая себя.

Что раскрыла работа операторов Famous Chollima

Сеансы в песочнице показали эффективный набор инструментов, предназначенный не для распространения вредоносного ПО, а для захвата личности и удаленного контроля. Как только участники Lazarus попадали в «ноутбук» жертвы, они запускали:

• AI-сервисы для автоматизации подачи заявок и подготовки к собеседованиям (Simplify Copilot, AiApply, Final Round AI).
• Браузерные генераторы одноразовых паролей для обхода 2FA после получения документов жертвы.
• Google Remote Desktop, настроенный через PowerShell с фиксированным PIN — для постоянного контроля над устройством.
• Стандартные команды разведки системы (dxdiag, systeminfo, whoami) — чтобы подтвердить характеристики устройства.
• Постоянное использование Astrill VPN, ранее замеченного в инфраструктуре Lazarus.

В одном из сеансов северокорейский работник даже оставил сообщение владельцу устройства в блокноте с просьбой загрузить удостоверение личности, SSN и банковские реквизиты — подтверждая конечную цель: полный захват личности и рабочего устройства, без использования какого-либо вредоносного ПО.

Подробно о том, почему Lazarus самая успешная группировка в мире, как она работает и каких результатов достигла — можно прочесть в нашей статье на Хабре: https://habr.com/ru/companies/ddosguard/articles/888908/