Primárním cílem podvodníků je získat plat, z něhož lze financovat zájmy severokorejské vlády, sekundárním způsobem generování příjmů je vydírání po odcizení dat.
Výzkumníci z jednotky Counter Threat Unit (CTU) pokračují ve vyšetřování hrozby NICKEL TAPESTRY, do které jsou zapojeni podvodní pracovníci jednající v zájmu Severní Koreje – oficiálně známé jako Korejská lidově demokratická republika.
Počátky této kampaně, veřejně označované jako Wagemole, byly vystopovány až do roku 2018, ačkoli odhalení infrastruktury naznačuje, že skupina NICKEL TAPESTRY provozuje svá výdělečná schémata přinejmenším od roku 2016. V rámci této kampaně došlo k nárůstu počtu útoků na evropské a japonské organizace, což je pravděpodobně důsledkem zvýšené informovanosti organizací se sídlem v USA a opatření přijatých v rámci boje proti této hrozbě. Podvodníci, kteří se ucházeli o pracovní místa v Japonsku a USA, se vydávali za vietnamské, japonské a singapurské odborníky, kromě toho, že stále vystupovali i jako profesionálové z Ameriky.
Existující důkazy naznačují, že podvodníci v průběhu času přizpůsobují svou identitu, aby se vyhnuli odhalení. Podvodní pracovníci v minulosti inzerovali dovednosti v oblasti vývoje softwaru pro web a blockchain, ale hlásí se i na pozice v široké škále odvětví, nejen ve firmách z technologického sektoru. V roce 2025 rozšířili své zaměření na role v oblasti kybernetické bezpečnosti a zintenzivnili využívání ženských profilů.
Cíle falešných IT pracovníků
Zatímco primárním cílem podvodníků je získat plat, z něhož lze financovat zájmy severokorejské vlády, sekundárním způsobem generování příjmů je vydírání po odcizení dat. V roce 2024 bylo zaznamenáno několik pokusů, které vedly k tomu, že americký Federální úřad pro vyšetřování (FBI) vydal v lednu 2025 řadu doporučení. Vydírání v důsledku krádeže zdrojových kódů a duševního vlastnictví je ze strany skupiny NICKEL TAPESTRY trvalou hrozbou, zejména v případě propuštění podvodného pracovníka. K odcizení dat může dojít během několika dnů po přijetí do zaměstnání a k nátlaku se používají až po skončení pracovního poměru.
Kromě toho jsou organizace ze strany severokorejských podvodných pracovníků ohroženy tradičními vnitřními hrozbami, jako jsou neoprávněný přístup ke cloudovým službám a rozhraním API nebo odcizení přístupových údajů, znalostí či obchodních tajemství. Existuje také riziko, že přístup získaný některým z těchto IT pracovníků by mohl být využit jinými severokorejskými skupinami ke škodlivým účelům.
Falešné identity IT pracovníků
Ve fázi před nástupem do zaměstnání podvodníci často digitálně upravují fotografie pro své zfalšované životopisy a profily na síti LinkedIn, stejně jako doplňují svou pracovní historii nebo prohlášení o skupinových projektech. Běžně používají snímky z fotobank překryté vlastními fotografiemi. Podvodníci také začali více využívat generativní umělou inteligenci, včetně nástrojů pro generování textů, úpravu obrázků a tvorbu životopisů.
Pohyb podvodníků v organizaci
Po získání zaměstnání ve společnosti použili podvodní pracovníci pro vzdálený přístup nástroje na simulování pohybu myší, VPN software, obcházení výchozího systémového nastavení písma a jazyka, a KVM over IP (vzdálené ovládání klávesnice, zobrazení a myši). Zasažené organizace také zaznamenaly instalaci více nástrojů pro vzdálené monitorování a správu (RMM) na jeden systém a dlouhé, často více než osmihodinové hovory přes Zoom se sdílením obrazovky. Někteří podvodní pracovníci vytrvale požadovali povolení používat osobní, nikoli firemní počítač, aby se vyhnuli nutnosti využít prostředníka, který by notebook převzal jejich jménem. Na osobních zařízeních je také obvykle aplikováno méně podnikových bezpečnostních opatření.
Personalisté musí zůstat ostražití
Pro zmírnění této hrozby je klíčová lidská ostražitost. Bezpečnostní experti z týmu Sophos CTU doporučují, aby organizace zavedly v rámci procesu pohovorů rozšířené postupy ověřování totožnosti. Personalisté a náboráři by měli být pravidelně informováni o taktikách používaných v těchto kampaních, aby mohli identifikovat potenciální podvodné severokorejské IT pracovníky. Kromě toho by organizace měly sledovat tradiční aktivity v oblasti vnitřních hrozeb, podezřelé používání legitimních nástrojů a upozornění na nereálné přemisťování, aby odhalily aktivity často spojené s podvodnými pracovníky.
Jako doporučení pro personalisty a náboráře sestavili experti společnosti Sophos jednoduchý kontrolní list, s pomocí kterého by měl být nábor IT pracovníků bezpečnější.
Během pohovoru:
• Vyžadujte od uchazečů ověřený doklad totožnosti, ideálně předložený alespoň jednou osobně.
• Zkontrolujte, zda se uchazeč na internetu prezentuje shodným jménem, vzhledem, pracovní historií i vzděláním.
• Sledujte, zda více uchazečů nepoužívá naklonované životopisy nebo stejná telefonní čísla. Zkontrolujte, zda nejsou telefonní čísla spojena s VoIP službami, namísto mobilních nebo pevných linek.
• Ověřte si pracovní historii spíše oficiální cestou než prostřednictvím kontaktů poskytnutých uchazečem a ověřte si, zda adresy a telefonní čísla odpovídají oficiálním webovým stránkám společnosti.
• Během pohovoru pokládejte neformální otázky týkající se místa, kde se uchazeč nachází, jeho pracovní historie nebo vzdělání a všímejte si odpovědí, které naznačují nedostatek opravdových zkušeností nebo jsou jinak v rozporu s jeho tvrzeními, např. neznalost aktuálního počasí v místě, kde se údajně nachází.
• Pokud uchazeč tvrdí, že je rodilým mluvčím, dejte si pozor na začátečníky nebo středně pokročilé znalce angličtiny.
• Proveďte osobní nebo video pohovor a požádejte uchazeče, aby alespoň dočasně vypnul virtuální pozadí a další digitální filtry.
• Provádějte prověrky pomocí důvěryhodného orgánu.
Při nástupu do zaměstnání:
• Zkontrolujte, zda se totožnost nastupujícího zaměstnance shoduje s přijatým uchazečem.
• Dávejte si pozor na žádosti o změnu dodací adresy firemních notebooků na poslední chvíli a instruujte kurýry, aby po odeslání neumožnili přesměrování na novou adresu.
• Buďte nedůvěřiví, pokud zaměstnanec trvá na použití osobního zařízení namísto firemního.
• Ověřte, zda bankovní údaje nesměřují na službu pro převádění peněz.
• Zkontrolujte žádosti o změnu platebních údajů zaměstnance podané na poslední chvíli nebo opakované žádosti o změnu údajů o bankovním účtu podané v krátkém časovém období.
• Odmítněte žádosti o platbu předem.
Během zaměstnání:
• Omezte používání neautorizovaných nástrojů pro vzdálený přístup i přístup k nepodstatným systémům.
• Buďte podezřívaví k odmítání zapnout video během hovorů, k neodůvodněným obavám z osobních schůzek a k hluku v pozadí hlasových hovorů, který by mohl naznačovat, že zaměstnanec pracuje v call centru nebo v přeplněné místnosti.
• Kontrolujte notebook zaměstnance pomocí antivirového softwaru a softwaru pro detekci a reakci na koncových bodech (EDR). Korelujte síťová připojení prostřednictvím služeb VPN, zejména zahraničních rezidenčních služeb VPN nebo Astrill VPN.
Kybernetická bezpečnost je týmový sport a tuto hrozbu zkoumají i další výzkumníci – například společnosti Spur a Google zveřejnily další užitečné zdroje týkající se Astrill VPN a další infrastruktury používané skupinou NICKEL TAPESTRY.
Autorem zprávy je výzkumný tým Sophos Counter Threat Unit, složený z bezpečnostních expertů z jednotky Counter Threat Unit (CTU), kteří se ke společnosti Sophos připojili v rámci akvizice společnosti Secureworks.
