TRM Labs表示,朝鲜IT工作人员在秘密为区块链初创公司工作时,通过USDC和USDT洗钱了数百万美元。
朝鲜继续依赖加密货币悄悄为其武器计划提供资金,美国政府正在加大力度关闭该计划。7月8日,美国财政部外国资产控制办公室制裁了朝鲜黑客Song Kum Hyok,称他帮助组织了一项涉及毫无戒心的科技和加密货币公司假远程工作人员的广泛计划。
根据区块链法医公司TRM Labs最近的一份报告,宋与朝鲜军事情报部门的网络犯罪部门安达里尔(Andariel)有联系。他们解释说,他在利用窃取的美国身份和假文件将IT工人(其中大多数实际上是朝鲜特工)安置到美国公司工作方面发挥了关键作用。
其中许多工作是在web 3,加密基础设施或区块链相关的软件开发。
TRM实验室说,这些工人从中国和俄罗斯等国家运作,同时假装是美国-自由职业者。他们以USD Coin(USDC)和Tether(USDT)等稳定币获得报酬。从那时起,这些钱似乎通过层层钱包、搅拌机和转换服务流动,然后最终落入朝鲜政权手中。
“财政部仍然致力于使用所有可用工具,破坏金正恩政权通过数字资产盗窃、试图冒充美国人和恶意网络攻击来规避制裁的努力。”
财政部副部长迈克尔·福克纳德
TRM实验室的分析人士指出,这只是朝鲜侦察总局(Lazarus和Blusioff背后的同一个机构)仍在使用网络策略来支持军事目标的最新迹象。他们指出,财政部官员一直警告说,加密货币盗窃和身份欺诈仍然是朝鲜避免经济压力战略的核心。
分析师解释说,OFAC发现的该计划严重依赖虚假人物角色。据称,宋负责使用从真实美国公民那里窃取的数据建立这些假身份。朝鲜特工一旦被雇用,可能已经用假名在美国公司工作了数月甚至数年。
他们还指出,OFAC制裁了四家公司和一名与俄罗斯网络有联系的人,据称该网络帮助管理这些虚假IT工作。据报道,这些企业与与朝鲜有联系的公司签署了长期合同,并知道他们正在与朝鲜工人打交道。
许多工人的目标是加密货币行业的工作,那里的付款更容易匿名。TRM Labs分析师表示,一旦收到加密货币,它就会分散在多个钱包中,并最终通过场外经纪人转换成法定货币,其中一些经纪人此前曾受到制裁。
网络联盟
外国资产管制处的最新行动是在司法部和联邦调查局等美国机构采取了一系列协调行动之后采取的。2025年6月5日,美国司法部还提出民事没收投诉,寻求扣押超过770万美元的加密货币、NFT和其他据信与同一朝鲜网络相关的数字资产。
TRM Labs表示,这些员工使用“Joshua Palmer”和“Alex Hong”等身份受雇于加密初创公司和其他科技公司。他们以稳定币形式支付,收益通过集中交易所、自营钱包,然后转移到Kim Sang Man和Sim Hyon Sop等更高级别的政权人物手中,两人都已经受到美国的制裁。
分析人士称,司法部的调查显示,部分行动依赖于俄罗斯和阿联酋的基础设施。调查人员发现朝鲜工人使用了当地IP地址和伪造文件,这帮助他们隐藏了真实身份。他们说,这凸显了该计划的国际化程度。
TRM审查的区块链数据显示,一旦资金到达中层钱包,资金就会被分成更小的部分,通过隐私增强工具进行传输,并最终通过场外交易柜台兑换为法定货币。其中一家场外经纪商已于2024年底受到OFAC的制裁。
在执法工作方面,联邦调查局和其他机构成功扣押了一部分被清洗的数字资产,包括USDC、ETH和一些高价值NFT。分析师将这些扣押描述为更广泛洗钱战略的一部分,旨在打破资金踪迹并使侦查变得更加困难。
TRM实验室表示,美国政府的最新行动发出了一个信息,即加密货币仍然是逃避制裁的高风险渠道,特别是在朝鲜行动方面。这家区块链英特尔公司警告说,雇用远程开发人员的公司--尤其是区块链领域的开发人员--在验证他们真正在与谁打交道时需要格外小心。
