Noms de code, fausses identités et recrues iraniennes : nouveaux détails sur l’opération NKITW

Par Flare Research

« Vous venez d'un pays sous sanctions. Si ce poste vous intéresse toujours, je dois vérifier si vous acceptez de travailler sous une autre identité. » 

- Un informaticien nord-coréen recrute à l'étranger pour sa stratégie de fraude à l'emploi 

Des recherches récentes sur l'opération NKITW ont mis au jour des preuves selon lesquelles le régime nord-coréen recrute probablement, intentionnellement, des individus originaires de Syrie, d'Arabie saoudite et d'Iran dans le cadre de son programme d'infiltration de travailleurs informatiques, ce qui rend d'autant plus urgent d'améliorer la vérification des emplois. 

Flare Research conclut avec un haut degré de certitude que les Nord-Coréens ciblent délibérément des entreprises de défense américaines, des plateformes d'échange de cryptomonnaies et des institutions financières. Bien que leurs motivations principales semblent être financières, le ciblage délibéré mis en évidence par leurs documents laisse supposer que d'autres objectifs entrent également en jeu.  

Le monde serait bien triste sans une pointe d'ironie. Et il y a quelque chose de profondément poétique à découvrir que la Corée du Nord, pays surnommé « le royaume ermite », externalise discrètement l'une de ses exportations les plus emblématiques : des infiltrés rémunérés dont la mission est de se faire embaucher dans des entreprises aux États-Unis, au Canada et en Europe occidentale. 

Suite à la publication conjointe début mars avec IBM X-Force, «La menace d'infiltration nord-coréenneFlare Research a mené une analyse approfondie des rouages ​​et des subtilités du système NKITW. Ce rapport vise à détailler le processus par lequel la RPDC se procure des fonds et de la propriété intellectuelle détournés en infiltrant des organisations occidentales, notamment en recrutant des individus originaires de pays sous sanctions des États-Unis, de l'Union européenne et des Nations Unies. Veuillez noter que toutes les informations contenues dans ce rapport ont été obtenues légalement et transmises aux autorités fédérales américaines chargées de l'application de la loi, lesquelles ne nous ont pas demandé de ne pas publier d'informations.  

Principales conclusions 

• Des preuves provenant de systèmes que l'on pense être gérés par NKITW détaillent le recrutement d'individus originaires d'Iran, de Syrie, du Liban et d'Arabie saoudite.  
• Au moins deux Iraniens ont reçu des lettres d'offre officielles d'employeurs américains. 
• Plusieurs grands groupes de défense américains, des plateformes d'échange de cryptomonnaies et des institutions financières semblent avoir été directement ciblés par des informaticiens nord-coréens.  
• Il existe des preuves de plus de 10 cas d'Iraniens recrutés directement par le régime nord-coréen.  
• Documents confirmant que NKITW a franchi avec succès les étapes finales du processus d'embauche, notamment la prise d'empreintes digitales, auprès de grandes entreprises de télécommunications et de défense. 

La menace des informaticiens nord-coréens 

La Corée du Nord est confrontée à un problème de financement. Soumise aux sanctions internationales, elle est privée d'accès aux marchés financiers mondiaux traditionnels et cherche à financer son régime par des moyens détournés. L'un de ces systèmes repose sur le marché mondial du travail à distance, où l'identification des individus est difficile à contrôler. Il en résulte un programme étatique qui déploie des milliers de travailleurs qualifiés à l'étranger et en ligne, sous de fausses identités, afin d'obtenir des emplois dans des entreprises occidentales et de reverser les revenus au régime. 

Les ministères américains de la Justice, du Trésor et des Affaires étrangères ont publié indépendamment des avertissements concernant cette menace, et plusieurs actes d'accusation ont été rendus publics. Des entreprises, allant de jeunes pousses à des sociétés du Fortune 500, ont embauché sans le savoir des ressortissants de la RPDC, dont les compétences varient considérablement.

Le modèle opérationnel est simple dans son concept, même s'il est complexe à mettre en œuvre. Les travailleurs adoptent des identités fictives, avec des profils LinkedIn soignés, des historiques GitHub et des références. Ils s'appuient sur des réseaux d'intermédiaires aux États-Unis pour recevoir leurs ordinateurs portables professionnels, gérer la paie et la logistique, ce qui nécessiterait normalement une présence physique. Lorsqu'un contrôle biométrique ou une vérification des antécédents menace de révéler la supercherie, le poste est discrètement abandonné et le cycle recommence ailleurs. Ce modèle opérationnel est décrit plus en détail dans le récent recherche avec IBM X-Force. 

Par le biais de sociétés écrans à peine dissimulées, les facilitateurs sont recrutés en leur proposant une solution alléchante : interagir avec les clients deux à trois heures par semaine, gagner au moins 5 000 $ par mois, tandis que le développement est pris en charge par quelqu’un d’autre : un modèle de partage des revenus. 

Un profil GitHub géré par la Corée du Nord recrute des ingénieurs logiciels aux États-Unis et en Europe. Bien que ce compte précis recrute des développeurs américains et européens, ces régions ne sont pas les seules cibles de recrutement.

Au cœur de l'opération : rapports hebdomadaires, noms de code et plans de recrutement 

Une feuille de temps interne affichant les noms de code et les heures de travail de groupes de Nord-Coréens, avec leur hiérarchie. 

De nombreux documents internes mis au jour remontent au régime nord-coréen. Ces documents révèlent une campagne coordonnée et orchestrée de recrutement d'Iraniens et d'autres personnes pour des opérations illicites ciblant des entreprises de cryptomonnaies, des sous-traitants de la défense et d'autres infrastructures critiques américaines. 

L'un des défis récurrents pour les travailleurs du secteur informatique est de conserver leur emploi sur le long terme. Cette image illustre un document récemment découvert où la NKITW recense le nombre de candidatures par personne et par groupe, en utilisant des pseudonymes pour évaluer l'efficacité du processus de recrutement. 

Feuille de suivi des demandes par personne et par groupe

Cela permet aux Nord-Coréens de se concentrer sur l'obtention des emplois Tout en sous-traitant les entretiens et le travail proprement dit à des personnes situées dans d'autres pays, les documents obtenus révèlent que des Nord-Coréens postulent chaque jour à des milliers d'emplois dans des organisations allant des entreprises de défense aux coopératives de crédit locales. 

Entités ciblées

Les rapports hebdomadaires internes font état d'un ciblage explicite. La fiche de tâches d'un facilitateur mentionne un poste chez l'un des plus importants sous-traitants de la défense américaine, assorti du statut requis. « Ce sera la dernière étape la semaine prochaine. » Un autre témoignage, provenant d'un autre intermédiaire, indique qu'un poste au sein d'une grande entreprise de télécommunications américaine est à pourvoir. « sera licencié cette semaine suite à un test d'empreintes digitales », Cela indique que l'agent a progressé loin dans le processus d'intégration avant le contrôle biométrique, qui permettra certainement de déceler la supercherie. Un troisième intermédiaire a reçu une offre formelle d'une entreprise américaine de logiciels à 125 000 $ par an et a mené à bien son intégration, les vérifications d'antécédents et la livraison de son ordinateur portable.

Capture d'écran d'une feuille de calcul nord-coréenne montrant qu'ils ont obtenu un contrat auprès d'un important sous-traitant de la défense américain, contrat qui « atteindra sa phase finale la semaine prochaine ».

Le secteur des cryptomonnaies et de la blockchain semble également faire l'objet d'une attention particulière. Plusieurs intermédiaires suivent les offres Upwork et les projets freelance spécifiques à la blockchain séparément de leurs candidatures générales, tout en étudiant simultanément… « Théorie de base sur la blockchain et les cryptomonnaies : compétences et transactions » comme l'indiquent certains documents récemment découverts. Les institutions financières sont également dans le collimateur, comme en témoigne le rapport hebdomadaire d'un facilitateur documentant l'intégration active de nouveaux membres dans une coopérative de crédit communautaire américaine, notamment la configuration des formulaires de vérification d'emploi I-9 et la participation à des réunions quotidiennes avec l'équipe de développement de l'entreprise. 

Plusieurs facilitateurs distinguent leur propre rôle (gestion des profils, candidatures) et le recrutement de personnes externes pour mener les entretiens téléphoniques et techniques. Ces « personnes contactées » ou « intervieweurs » sont recrutés dans divers pays, notamment en Iran, en Irlande, en Inde et ailleurs, puis accompagnés et formés. En cas d'échec, le facilitateur analyse l'enregistrement et fournit un retour d'information, assurant ainsi un véritable coaching d'entretien.

Recrutement à Téhéran : le circuit de recrutement iranien de la RPDC 

Les rapports hebdomadaires ne se contentent pas de révéler le mode de fonctionnement des informaticiens nord-coréens. Ils mettent également en lumière un vaste réseau coordonné. 

De multiples rapports d'intermédiaires, recueillis indépendamment, font ressortir un schéma constant : les intermédiaires nord-coréens semblent recruter activement et délibérément des développeurs de logiciels en Iran pour servir d'« intervieweurs » et d'« opérateurs téléphoniques ». Ce sont ces personnes qui contactent par téléphone les responsables du recrutement américains, réussissent les tests techniques et usurpent l'identité de personnes occidentales, réelles ou fictives, mises en place par l'opération nord-coréenne.

Opérateur Sea : Développeur C#/.NET

Ce n'est pas un hasard. Au moins trois intermédiaires distincts, agissant apparemment au sein de cellules indépendantes, recrutaient simultanément des développeurs iraniens durant la même période, comme l'indiquent leurs documents de suivi internes.

Un tableur interne montrant que l'opérateur « Sea » a explicitement déclaré avoir embauché des Iraniens

En quelques semaines, les nouvelles recrues sont intégrées à l'équipe. Un informaticien nord-coréen, dont le nom de code est inconnu, est désigné par ce nom. Océan écrit: 

« Hasan, un nouveau développeur C# en Iran, se prépare pour ses prochains entretiens » 

Hasan est affecté au personnage de « Jack Long », un développeur américain C#/.NET fictif dont le profil LinkedIn est utilisé. Océan maintient. Océan Il modifie le CV de Jack Long pour qu'il corresponde à ses compétences réelles, puis postule chaque jour à plus de 100 offres d'emploi C#/.NET sous ce nom. Lorsque les entreprises le recontactent, Hasan décroche l'entretien. 

D'ici février 7, Océan il embauche un autre développeur iranien : 

« Recrutement d’un nouveau développeur C# : Hamid en Iran » 

Février 8: 

« Préparer le profil et guider le nouveau venu pour ses futurs entretiens – Hamid en Iran » 

Et dès le 10 février, les décisions d'embauche individuelles sont devenues une priorité opérationnelle explicite : « Recrutement de nouveaux intervieweurs – Ciblage des profils iraniens » 

Une capture d'écran d'un tableur interne du régime nord-coréen montre que l'opérateur Sea indique explicitement avoir embauché des Iraniens.

« Opérateur Eugene : » Complice de Sea 

Sea n'agit pas de manière isolée. Des documents montrent qu'un deuxième facilitateur, nommé « Eugene », a fait un rapport indépendant le 10 janvier.: 

« Nous embauchons de nouveaux gars en Iran, en Syrie et en Arabie saoudite. » 

Et de nouveau le 11 janvier : 

« On recrute du nouveau en Iran, en Syrie et en Arabie saoudite. On a trouvé un Américain pour s'occuper de son ordinateur portable. » 

Capture d'écran mentionnant l'embauche de nouveaux travailleurs en Iran, en Syrie et en Afrique du Sud

La RPDC semble recruter systématiquement dans des pays où existent des développeurs qualifiés mais qui ont un accès direct limité aux marchés du travail occidentaux. 

« L’opérateur Fineboy : » L’entonnoir LinkedIn 

Un troisième intermédiaire, « Fineboy », privilégie une approche de masse. Plutôt que de recruter des individus spécifiques, Fineboy utilise une plateforme de recrutement LinkedIn pour cibler un grand nombre d'ingénieurs iraniens. 

On le 16 janvier: 

« J’ai été mis en relation avec 10 ingénieurs de données iraniens via 2 profils LinkedIn. » On le 18 janvier: 

« J’ai discuté avec cinq ingénieurs de données iraniens en utilisant un profil, sans résultat. » 

On le 22 janvier: 

« J’ai été mis en relation avec plus de 20 ingénieurs en données et .NET iraniens via 3 profils LinkedIn. » 

On le 25 janvier: 

« En contact avec plus de 50 développeurs iraniens, je discute avec 3 d'entre eux. » 

D'après l'ensemble des données et les rapports hebdomadaires des facilitateurs, Flare a identifié au moins 14 recrues iraniennes nommées à différents stades de leur parcours, notamment Hasan, Hamid, Mahdi, Peyman, Mehrdad, Naderi, Amir, Ali, Ali Assar et Ahmadreza Zenouzi. Sept autres développeurs iraniens ont été repérés nommément sur LinkedIn lors d'une seule session, et les actions de Fineboy ont permis de contacter plus de 50 développeurs iraniens en une seule semaine, ce qui laisse penser que le nombre total d'Iraniens impliqués par l'ensemble des facilitateurs est bien plus important que ce qui apparaît dans les rapports individuels. 

Au moins quatre cellules nord-coréennes distinctes étaient impliquées simultanément dans le recrutement iranien : Sea, Eugene et Fineboy, mentionnés dans les rapports hebdomadaires, et des individus opérant sous les noms de code Michael/Lander dans le cadre d’une autre opération.  

Le rôle des Iraniens 

Pour bien comprendre le rôle de ces recrues : elles ne postulent pas à des emplois et ne gèrent pas de fausses identités ; ce sont les facilitateurs nord-coréens qui s’en chargent. Leur rôle se limite à répondre aux appels. 

Lorsqu'une entreprise programme un entretien téléphonique avec « Jack Long », c'est Hasan qui répond. 

Lors d'un entretien technique, c'est le développeur iranien qui résout le problème de codage. Lorsqu'un responsable du recrutement souhaite aborder la question de l'expérience avec C# ou React, c'est le candidat iranien qui répond à la question. 

Les facilitateurs suivent explicitement cette répartition des tâches. Les rapports de Sea font la distinction entre "Appliquer 

« Plus de 100 offres d'emploi C#/.NET sur le profil LinkedIn de Jack Long » (le rôle du facilitateur) et « Guider Hamid pour les entretiens » ou "J'ai réalisé 3 entretiens d'introduction – Hamid (Le rôle de la recrue). Le facilitateur organise les entretiens ; la recrue y participe. 

C’est aussi pourquoi la maîtrise de l’anglais est considérée comme un critère de recrutement essentiel dans tous les rapports. Plusieurs recruteurs indiquent avoir rejeté des candidats précisément parce que leur niveau d’anglais était insuffisant. Voici un extrait du témoignage d’un autre recruteur : « Nous avons examiné la vidéo du candidat et avons refusé sa candidature en raison de ses compétences en communication en anglais. » Les recrues iraniennes doivent être suffisamment convaincantes lors d'un appel vidéo pour se faire passer pour le personnage occidental qu'elles imitent. 

De l'autre côté : Comment la RPDC présente les Iraniens 

Les rapports hebdomadaires décrivent cette opération du point de vue de la direction : les facilitateurs enregistrent les tâches, suivent les embauches et mettent à jour les statuts. Cependant, les éléments de preuve provenant de l’autre extrémité de la conversation, à savoir l’argumentaire de recrutement lui-même, ont été récupérés sur une machine distincte, contrôlée par la RPDC. 

La machine est liée au site interne nord-coréen à l'adresse 192.168.109.2, une plateforme de back-office nord-coréenne connue et documentée dans Recherche conjointe de Flare et d'IBM X-ForceIl contient 169 profils Chrome dont toutes les traductions sont destinées au coréen. L'opérateur utilise le pseudonyme « Michael », dirige une société écran et travaille en collaboration avec un complice nommé « Lander ». 

Dans les données du navigateur, nous avons récupéré l'intégralité du cycle de recrutement : le repérage de développeurs iraniens sur LinkedIn, les argumentaires de recrutement traduits, les instructions d'intégration, les lettres d'offre et les réponses des candidats eux-mêmes. 

The Pitch

Le discours est standardisé. Après un premier contact sur LinkedIn, l'opérateur prononce la phrase clé : 

« Vous venez d'un pays sous sanctions. Si ce poste vous intéresse toujours, je dois vérifier si vous acceptez de travailler sous une autre identité. » 

Pour ceux qui manifestent de l'intérêt, l'opérateur multiplie les incitations. Il explique aux recrues que des Iraniens ayant rejoint le programme ont transformé leur vie : « Beaucoup de Persans avec qui j'ai travaillé ont amélioré leur situation et ont accédé à un niveau de vie supérieur, en achetant de nouvelles maisons et des voitures. » Il promet des paiements en cryptomonnaie pour contourner l'embargo bancaire iranien et évoque la possibilité d'une immigration aux États-Unis : « Nous vous inviterons certainement aux États-Unis une fois que tout ira bien. » Un message proposait des contacts avec des universités de Floride et du Minnesota pour un parrainage de visa. 

Pour attirer davantage de recrues, un opérateur a même affirmé avoir personnellement immigré aux États-Unis en 2016. Il ne l'a pas fait – Cet opérateur travaillait depuis une machine connectée au réseau interne nord-coréen. Il commet lui-même la même usurpation d'identité qu'il demande à ses recrues de commettre contre les employeurs américains. 

Le scoutisme

Le repérage semble délibéré. ​​Lors d'une seule session LinkedIn en mai 2024, l'opérateur a recherché au moins sept développeurs iraniens nommément, ainsi que des candidats syriens et libanais. L'historique de recherche Google du même utilisateur illustre clairement cette logique stratégique. 

« Qui, parmi l'Iran et le Liban, parle le mieux anglais ? » « La Syrie est sous sanctions ? » « sites d'emploi syriens » « Canaux Discord pour les développeurs syriens. » 

Capture d'écran d'un message de recrutement traduit par Google Traduction

La rémunération

Une lettre d'offre formelle, récupérée sur la machine, détaille la rémunération. Adressée à [REDACTED] avec une date de début au 26 août 2024, elle propose 500 $ par mois en tant qu'« Assistant(e) d'entretien » à temps partiel pendant la phase initiale, puis jusqu'à 2 700 $ par mois après l'embauche. La lettre mentionne une période d'essai d'un mois, 15 jours de congés payés et une clause d'exclusivité. Elle ressemble à un véritable contrat de travail, alors qu'il s'agit en réalité d'un document de recrutement frauduleux. Mais 2 700 $ n'est que le salaire de départ. Un argumentaire de recrutement en coréen révèle l'ensemble des propositions : 5 000 $ ou plus par mois pour les affectations aux États-Unis, 3 000 $ pour l'UE. Et pour ceux qui ne maîtrisent pas les aspects techniques : « Il vous suffit d'assister à la réunion de l'entreprise pour gagner 1 500 $ par mois. Nous nous chargeons du développement. »

Les réactions des recrues

Un développeur a directement interpellé l'opérateur : « Je suis tout à fait d'accord avec vous sur le fait qu'en raison des sanctions, ce serait un peu difficile. Mais je pense que travailler sous une autre identité ne me pose aucun problème. »

Cette recrue a été embauchée pour travailler aux heures de la côte Est des États-Unis, à partir de 4h30 heure iranienne, et rémunérée en cryptomonnaie. 

Un autre nouvel arrivant, Amir, a accepté, mais a remis en question la rémunération, faisant remarquer que 2 700 dollars par mois étaient inférieurs aux salaires d'entrée de gamme européens. La réaction privée de Michael, visible dans ses propres notes : « … »Oser se plaindre de son salaire, hein ?« » et un emoji plat. 

Le service militaire iranien constitue un obstacle récurrent pour les recrues. Nombre d'entre elles le citent comme un facteur bloquant, auquel le recruteur nord-coréen s'est adapté en effectuant désormais une vérification préalable.  

« Avez-vous des engagements à venir, comme un service militaire en Iran, qui pourraient interrompre notre contrat ? »

Comment les équipes de sécurité peuvent réagir

Les preuves que nous avons mises au jour révèlent une opération plus vaste, plus systématique et plus fortement ancrée à l'international que ne le laissaient entendre les précédents rapports publics. La RPDC ne se contente pas de déployer ses propres ressortissants sous de fausses identités. Elle met en place un système de recrutement multinational, attirant des développeurs qualifiés d'Iran, de Syrie, du Liban et d'Arabie saoudite vers une infrastructure conçue pour infiltrer les entreprises de défense américaines, les plateformes d'échange de cryptomonnaies, les institutions financières et les entreprises de toutes tailles. Ces recrues sont de véritables ingénieurs logiciels, rémunérés en cryptomonnaie, préparés aux entretiens d'embauche et intégrés à des sociétés occidentales fictives. 

Pour les organisations, la conséquence est claire : la personne en face de vous lors d’un entretien technique peut ne pas être celle dont l’identité figure sur son CV, et son lieu de travail peut être différent de celui indiqué. Renforcer la vérification des antécédents professionnels n’est plus une option. C’est une mesure de riposte directe contre un programme d’État qui prend de l’ampleur.