فرض مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية عقوبات على شبكة مكونة من ستة أفراد وكيانين لدورهم المحوري في مخطط احتيال متطور لعمال تقنية المعلومات يعملون لصالح جمهورية كوريا الديمقراطية الشعبية (كوريا الشمالية). يهدف هذا المخطط إلى الاحتيال المنهجي على الشركات الأمريكية والدولية، وتوليد إيرادات غير مشروعة مخصصة لتمويل برامج كوريا الشمالية لأسلحة الدمار الشامل والصواريخ الباليستية، مما يتعارض بشكل مباشر مع قرارات متعددة لمجلس الأمن التابع للأمم المتحدة. وأكد وزير الخزانة الأمريكي سكوت بيسنت الطبيعة المزدوجة للتهديد في هذا المخطط، قائلاً: "يستهدف النظام الكوري الشمالي الشركات الأمريكية من خلال مخططات احتيالية ينفذها عناصر تقنية المعلومات التابعين له في الخارج، والذين يحولون البيانات الحساسة إلى سلاح ويبتزون الشركات للحصول على مدفوعات كبيرة." يمثل هذا الإجراء تأكيداً على التزام الحكومة الأمريكية بتعطيل خطوط التمويل التي تمكن بيونغ يانغ من تطوير أسلحتها المحظورة.
تعتمد العملية الاحتيالية، التي تتعقبها فرق الأبحاث الأمنية الإلكترونية تحت أسماء مثل كورال سليت وجاسبر سليت وبيربل دلتا وواجمول، على إستراتيجية خداع متعددة الطبقات. يستخدم عمال تقنية المعلومات، الذين يعملون نيابة عن النظام الكوري الشمالي، وثائق مزورة وهويات مسروقة وشخصيات افتراضية مصنوعة بالكامل لإخفاء جنسياتهم ومواقعهم الحقيقية. من خلال التظاهر بأنهم مطورو برمجيات مستقلون أو متعاقدون مقيمون في دول أخرى، فإنهم يحصلون على وظائف عن بُعد في شركات مشروعة، خاصة في الولايات المتحدة. ثم يتم تحويل جزء كبير من الرواتب المكتسبة من هذه الوظائف سراً إلى حسابات خاضعة لسيطرة الحكومة في كوريا الشمالية، مما يوفر تدفقاً حاسماً للعملة الأجنبية لبرامجها للأسلحة الخاضعة للعقوبات. يمثل هذا المخطط استغلالاً صارخاً لنظام العمل عن بُعد العالمي.
لا يقتصر الأمر على الاحتيال المالي، فغالباً ما يشارك عمال تقنية المعلومات المدعومون من الدولة في عمليات إلكترونية أكثر عدوانية لتعظيم القيمة للنظام. بمجرد اندماجهم داخل منظمة الضحية، يمكن أن تتطور أنشطتهم لتشمل نشر برامج ضارة لسرقة الملكية الفكرية الخاصة والبيانات التجارية الحساسة ومعلومات التعريف الشخصية. وفي نموذج ابتزاز مزدوج كلاسيكي، يستغل العناصر هذه البيانات المسروقة بعد ذلك للمطالبة بمدفوعات فدية من الشركات الضحية، مع التهديد بتسريب المعلومات علناً إذا لم تتحقق مطالبهم. وهذا يحول الاحتيال البسيط على كشوف المرتبات إلى تهديد مركب يشمل سرقة الملكية الفكرية والتجسس الصناعي وهجمات برامج الفدية التخريبية، مما يتسبب في أضرار مالية وسمعية كبيرة.
يعتمد التنفيذ التقني لهذا المخطط بشكل كبير على أدوات التمويه المتطورة. كما أبرزته شركة الأمن الإلكتروني LevelBlue، غالباً ما يعمل العناصر من دول ثالثة، ولا سيما الصين، بدلاً من العمل مباشرة من كوريا الشمالية. يستغلون خدمات الشبكات الخاصة الافتراضية (VPN) التجارية، مثل Astrill VPN، القادرة على تجاوز الجدران النارية الوطنية مثل "الجدار الناري العظيم" في الصين. من خلال توجيه حركة مرور الإنترنت الخاصة بهم عبر عقد خروج مقرها الولايات المتحدة، يمكنهم تقديم بصمة رقمية تتوافق مع موظف أمريكي محلي، مما يتيح لهم تجنب فحوصات تحديد الموقع الجغرافي القياسية للشركات بشكل فعال. علق الباحث الأمني Tue Luu قائلاً: "عادةً ما يعمل هؤلاء الجهات الفاعلة المهددة من الصين بدلاً من كوريا الشمالية لسببين: البنية التحتية الموثوقة للإنترنت والقدرة على الاستفادة من خدمات VPN لإخفاء أصلهم الجغرافي الحقيقي." يعد غسل الموقع الجغرافي هذا عاملاً تمكينياً رئيسياً للاحتيال، مما يجعل عمليات الفرز القوية والمرتكزة على الهوية ضرورية للشركات التي توظف مواهب تقنية المعلومات عن بُعد.
