นักสืบด้านบล็อกเชน ZachXBT ได้เปิดโปงปฏิบัติการที่ซับซ้อนของคนงานด้านไอทีชาวเกาหลีเหนือ ซึ่งแทรกซึมเข้าไปในบริษัทเทคโนโลยีตะวันตกผ่านตำแหน่งงานพัฒนาซอฟต์แวร์ทางไกล ในรายงานเมื่อวันที่ 13 สิงหาคม นักสืบรายนี้ได้เน้นย้ำว่าแหล่งข่าวที่ไม่เปิดเผยชื่อได้เจาะอุปกรณ์ที่เป็นของคนงานด้านไอที DPRK ห้าคน ทำให้เข้าถึงวิธีการดำเนินงานของพวกเขาได้อย่างที่ไม่เคยมีมาก่อน ทีมงานได้ซื้อหมายเลขประกันสังคมปลอม บัญชี Upwork และ LinkedIn หมายเลขโทรศัพท์ และการเช่าคอมพิวเตอร์อย่างเป็นระบบ เพื่อให้ได้งานพัฒนาซอฟต์แวร์ในโครงการต่างๆ การส่งออก Google Drive และโปรไฟล์เบราว์เซอร์ Chrome เผยให้เห็นว่าคนงานใช้ผลิตภัณฑ์ของ Google อย่างกว้างขวางเพื่อจัดตารางเวลาของทีม งาน และงบประมาณ ในขณะที่สื่อสารเป็นภาษาอังกฤษเป็นหลัก รายงานประจำสัปดาห์จากปี 2025 เปิดเผยว่าสมาชิกในทีมกำลังประสบปัญหาเกี่ยวกับข้อกำหนดของงาน โดยคนหนึ่งระบุว่า “ฉันไม่เข้าใจข้อกำหนดของงาน และไม่รู้ว่าฉันต้องทำอะไร” ควบคู่ไปกับคำสั่งให้ “ใส่ใจความพยายามให้มากพอ”
วิธีการดำเนินงานและเทคโนโลยีที่ใช้ คนงาน DPRK ปฏิบัติตามรูปแบบที่สอดคล้องกันในการซื้อบัญชี Upwork และ LinkedIn ซื้อหรือเช่าคอมพิวเตอร์ จากนั้นใช้ซอฟต์แวร์เข้าถึงระยะไกล AnyDesk เพื่อทำงานให้กับนายจ้าง สเปรดชีตค่าใช้จ่ายบันทึกการซื้อการสมัครสมาชิกปัญญาประดิษฐ์ VPN พร็อกซี และเครื่องมืออื่นๆ ที่จำเป็นในการรักษาสถานะตัวตนปลอม ตารางการประชุมและสคริปต์ถูกเก็บรักษาไว้สำหรับแต่ละตัวตนปลอม รวมถึงบุคลิกโดยละเอียดเช่น “Henry Zhang” พร้อมเรื่องราวเบื้องหลังและประวัติการทำงานที่สมบูรณ์ คนงานใช้ที่อยู่กระเป๋าเงินดิจิทัลเพื่อส่งและรับการชำระเงิน ซึ่ง ZachXBT เชื่อมโยงกับปฏิบัติการฉ้อโกงหลายครั้ง ที่อยู่กระเป๋าเงินดิจิทัลเชื่อมโยงทีมกับ Favrr exploit มูลค่า 680,000 ดอลลาร์จากเดือนมิถุนายน 2025 ซึ่ง CTO ของบริษัทและนักพัฒนาคนอื่นๆ ถูกเปิดเผยว่าเป็นคนงานด้านไอที DPRK ที่ใช้เอกสารปลอม ZachXBT ระบุว่า Favrr CTO “Alex Hong” มีภูมิหลังที่น่าสงสัยด้วยโปรไฟล์ LinkedIn ที่เพิ่งถูกลบไป และประวัติการทำงานที่ไม่สามารถตรวจสอบได้
ไม่ซับซ้อนแต่ไม่ย่อท้อ ประวัติเบราว์เซอร์จากอุปกรณ์ที่ถูกบุกรุกแสดงให้เห็นการใช้งาน Google Translate บ่อยครั้งพร้อมการแปลภาษาเกาหลีในขณะที่ดำเนินการจากที่อยู่ IP ของรัสเซีย หลักฐานยืนยันต้นกำเนิดของคนงานว่าเป็นชาวเกาหลีเหนือ แม้ว่าพวกเขาจะมีการสื่อสารภาษาอังกฤษที่ซับซ้อนและบุคลิกแบบตะวันตก ZachXBT ตั้งข้อสังเกตว่าความท้าทายหลักในการต่อสู้กับคนงานด้านไอที DPRK เกิดจากการขาดความร่วมมือระหว่างบริการและภาคเอกชน ควบคู่ไปกับการละเลยของทีมงานจัดหาบุคลากรที่กลายเป็นฝ่ายตั้งรับเมื่อได้รับการแจ้งเตือนเกี่ยวกับการแทรกซึมที่อาจเกิดขึ้น คนงานแปลงรายได้จากการทำงานพัฒนาซอฟต์แวร์เป็นสกุลเงินดิจิทัลผ่าน Payoneer โดยนักสืบตั้งข้อสังเกตว่าพวกเขา “ไม่มีความซับซ้อนแต่อย่างใด แต่มีความพยายามอย่างต่อเนื่องเนื่องจากมีจำนวนมากที่ไหลบ่าเข้ามาในตลาดงานทั่วโลกสำหรับบทบาทต่างๆ” การเปิดโปงเผยให้เห็นขนาดของการแทรกซึมของเกาหลีเหนือเข้าไปในบริษัทเทคโนโลยีตะวันตก โดยปฏิบัติการที่ถูกบุกรุกเป็นเพียงทีมเดียวในบรรดาทีมหลายร้อยทีมที่อาจดำเนินการตามแผนการที่คล้ายกันในแพลตฟอร์มการพัฒนาซอฟต์แวร์ทางไกล โพสต์ ZachXBT เปิดโปงคนงานด้านไอทีชาวเกาหลีเหนือที่ดำเนินการตัวตนปลอม 30 รายการในแพลตฟอร์มการพัฒนา