تقول شركة TRM Labs إن عمال تكنولوجيا المعلومات في كوريا الشمالية قاموا بغسل ملايين الدولارات من USDC وUSDT أثناء عملهم سراً في شركات ناشئة في مجال blockchain.
تواصل كوريا الشمالية الاعتماد على العملات المشفرة لتمويل برامج أسلحتها سرًا، وتكثف الحكومة الأمريكية جهودها لإيقافها. في 8 يوليو/تموز، فرض مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية عقوبات على قرصان كوري شمالي، يُدعى سونغ كوم هيوك، يُزعم أنه ساعد في تنظيم مخطط واسع النطاق يتضمن عمالًا مزيفين يعملون عن بُعد في شركات تقنية وعملات مشفرة غير مُدركة للأمر.
وفقًا لتقرير حديث صادر عن شركة TRM Labs المتخصصة في تحليلات تقنية بلوكتشين، ارتبط سونغ بوحدة أندارييل، وهي وحدة متخصصة في الجرائم الإلكترونية تابعة للمخابرات العسكرية لكوريا الشمالية. وأوضح التقرير أنه لعب دورًا محوريًا في توظيف عمال تكنولوجيا المعلومات – ومعظمهم عملاء كوريون شماليون – في شركات أمريكية باستخدام هويات أمريكية مسروقة ووثائق مزورة.
كانت العديد من هذه الوظائف في مجال تطوير البرمجيات المتعلقة بـ web3، أو البنية التحتية للعملات المشفرة، أو تقنية blockchain.
ذكرت شركة TRM Labs أن هؤلاء العمال كانوا يعملون من دول مثل الصين وروسيا ، متظاهرين بأنهم مستقلون مقيمون في الولايات المتحدة. وكانوا يتقاضون أجورهم بعملات مستقرة مثل USD Coin ( USDC ) وTether ( USDT ). ومن هناك، يبدو أن الأموال تدفقت عبر طبقات من المحافظ، وأجهزة الخلط، وخدمات التحويل، قبل أن تصل إلى أيدي النظام الكوري الشمالي.
وتظل وزارة الخزانة ملتزمة باستخدام كل الأدوات المتاحة لتعطيل جهود نظام كيم للالتفاف على العقوبات من خلال سرقة الأصول الرقمية، ومحاولة انتحال هوية الأمريكيين، والهجمات الإلكترونية الخبيثة.
نائب وزير الخزانة، مايكل فولكندر
أشار محللون في مختبرات TRM إلى أن هذه ليست سوى أحدث إشارة على أن مكتب الاستطلاع العام في كوريا الشمالية – وهو نفس الجهاز الذي يقف وراء لازاروس وبلونوروف – لا يزال يستخدم أساليب إلكترونية لدعم أهداف عسكرية. وأشاروا إلى أن مسؤولي الخزانة الأمريكية يحذرون من أن سرقة العملات المشفرة وانتحال الهوية لا يزالان عنصرين أساسيين في استراتيجية كوريا الشمالية لتجنب الضغوط الاقتصادية.
أوضح المحللون أن المخطط الذي كشفه مكتب مراقبة الأصول الأجنبية يعتمد بشكل كبير على شخصيات وهمية. ويُزعم أن سونغ مسؤول عن بناء هذه الهويات المزيفة، باستخدام بيانات مسروقة من مواطنين أمريكيين حقيقيين. وبمجرد توظيفهم، قد يكون عملاء كوريون شماليون قد عملوا لأشهر أو حتى سنوات في شركات أمريكية بأسماء مستعارة.
كما أشاروا إلى أن مكتب مراقبة الأصول الأجنبية فرض عقوبات على أربع شركات وشخص آخر مرتبط بشبكة مقرها روسيا يُزعم أنها ساعدت في إدارة وظائف تكنولوجيا المعلومات الوهمية هذه. وأفادت التقارير أن هذه الشركات وقّعت عقودًا طويلة الأجل مع شركات مرتبطة بكوريا الشمالية، وكانت على علم بتعاملها مع عمال كوريين شماليين.
استهدف العديد من العمال وظائف في قطاع العملات المشفرة تحديدًا، حيث كان من الأسهل إخفاء هوية المدفوعات. وصرح محللو TRM Labs بأنه بمجرد استلام العملات المشفرة، تم توزيعها عبر عدة محافظ، ثم حُوِّلت في النهاية إلى عملات ورقية باستخدام وسطاء خارج البورصة، بعضهم فُرضت عليهم عقوبات سابقًا.
التحالف السيبراني
جاء أحدث إجراء لمكتب مراقبة الأصول الأجنبية (OFAC) في أعقاب سلسلة من التحركات المنسقة التي اتخذتها وكالات أمريكية، بما في ذلك وزارة العدل ومكتب التحقيقات الفيدرالي (FBI). في 5 يونيو/حزيران 2025، رفعت وزارة العدل دعوى مصادرة مدنية سعياً لمصادرة أكثر من 7.7 مليون دولار من العملات المشفرة والرموز غير القابلة للاستبدال (NFTs) وغيرها من الأصول الرقمية التي يُعتقد أنها مرتبطة بالشبكة الكورية الشمالية نفسها.
تقول مختبرات TRM إن العاملين استخدموا هويات مثل "جوشوا بالمر" و"أليكس هونغ" للتوظيف في شركات ناشئة في مجال العملات المشفرة وشركات تقنية أخرى. وكانوا يتلقون رواتبهم بعملات مستقرة، مع توجيه العائدات عبر منصات تداول مركزية ومحافظ ذاتية الاستضافة، ثم إلى شخصيات رفيعة المستوى في النظام مثل كيم سانغ مان وسيم هيون سوب، وكلاهما خاضع بالفعل لعقوبات أمريكية.
كشف تحقيق وزارة العدل، وفقًا لمحللين، أن أجزاءً من العملية اعتمدت على بنية تحتية في روسيا والإمارات العربية المتحدة . وتوصل المحققون إلى استخدام عناوين IP محلية ووثائق مزورة، مما ساعد العمال الكوريين الشماليين على إخفاء هوياتهم الحقيقية. وقالوا إن هذا يُبرز مدى اتساع نطاق المخطط دوليًا.
أظهرت بيانات بلوكتشين التي راجعتها TRM أنه بمجرد وصول الأموال إلى محافظ متوسطة المستوى، تُقسّم إلى أجزاء أصغر، وتُوجّه عبر أدوات تُعزّز الخصوصية، وتُستبدل في النهاية بالعملات التقليدية عبر منصات التداول خارج البورصة (OTC). وكان أحد هؤلاء الوسطاء قد خضع لعقوبات من مكتب مراقبة الأصول الأجنبية (OFAC) في أواخر عام ٢٠٢٤.
فيما يتعلق بجهود إنفاذ القانون، نجح مكتب التحقيقات الفيدرالي (FBI) ووكالات أخرى في مصادرة جزء من الأصول الرقمية المغسولة، بما في ذلك عملات USDC وETH وبعض الرموز غير القابلة للاستبدال (NFTs) عالية القيمة. ووصف المحللون هذه المصادرات بأنها جزء من استراتيجية غسل أموال أوسع نطاقًا تهدف إلى تفكيك مسار الأموال وجعل الكشف عنها أكثر صعوبة.
تقول شركة TRM Labs إن الإجراء الأخير للحكومة الأمريكية يُرسل رسالة مفادها أن العملات المشفرة لا تزال قناة عالية الخطورة للتهرب من العقوبات، خاصةً فيما يتعلق بعمليات كوريا الشمالية. وحذرت شركة استخبارات البلوك تشين من أن الشركات التي توظف مطورين عن بُعد – وخاصةً في مجال البلوك تشين – بحاجة إلى توخي الحذر الشديد في التحقق من هوية من يتعاملون معه بالفعل.
