“Rencana-rencana tersebut sedang dipakai dan sedang dibangun,” ujar Michael “Barni” Barnhart, seorang otoritas terkemuka dalam bidang peretasan dan ancaman siber Korea Utara yang bekerja untuk perusahaan keamanan ancaman internal DTEX. Bersama dengan peneliti Korea Utara lainnya, yang menyebut diri mereka sebagai aliansi “Misfit”, Barnhart telah menyaksikan klaster pekerja ini melakukan pekerjaan arsitektural dan menyatakan bahwa upaya serupa lainnya telah terdeteksi. “Mereka akan mengerjakan rendering CAD, mereka akan membuat gambarnya,” katanya. “Ini bukanlah sesuatu yang hipotetis—hal-hal fisik itu benar-benar ada di luar sana.”
Barnhart—yang sebelumnya menemukan animator Korea Utara yang tampaknya mengerjakan acara-acara Amazon dan Max—menyatakan bahwa dia juga melihat perusahaan-perusahaan front yang berpotensi didirikan untuk membantu menjalankan operasi dan memberikan kesan legitimasi. Temuan ini memunculkan pertanyaan mengenai kualitas pekerjaan struktural dan kekhawatiran tentang keselamatan, jika struktur tersebut diciptakan di dunia fisik. “Dalam beberapa investigasi kami, rencana dan produk yang mereka buat untuk renovasi dan rendering ini, tidak mendapat ulasan yang baik,” kata Barnhart. “Kami memiliki indikasi bahwa mereka juga disewa untuk mengerjakan infrastruktur kritis.”
Satu rekaman layar berdurasi 24 menit yang dilihah oleh WIRED menunjukkan bagaimana operasi freelancer ini dapat bekerja. Dalam video tersebut, seseorang mendaftar ke situs web pekerjaan lepas dan membuat profil baru di mana mereka menulis bahwa mereka adalah “insinyur/arsitek struktural berlisensi di AS.” Mereka memilih gambar profil dari folder file yang berpotensi diunduh, menerjemahkan teks antara bahasa Inggris dan Korea, dan mengakses situs web generator nomor Jaminan Sosial selama proses pendaftaran.
Ketika akun mereka berhasil dibuat, video tersebut menunjukkan mereka mulai mengirim pesan untuk meminta pekerjaan secara online, dengan satu pesan yang menyatakan: “Saya dapat menyediakan set rencana gambar izin untuk desain rumah tinggal Anda dalam beberapa hari.”
Rekaman layar lainnya menunjukkan para pekerja tersebut sedang melakukan percakapan dengan klien potensial, dan dalam setidaknya satu instansi, terdapat rekaman panggilan online yang mendiskusikan kemungkinan pekerjaan. Peneliti dari Kela, yang meminta untuk tidak disebutkan namanya demi alasan keamanan, menyebutkan bahwa tampaknya beberapa calon pelanggan kembali lagi kepada para penipu ini setelah kemungkinan pekerjaannya selesai. Para peneliti menyatakan bahwa beberapa jenis pekerjaan tampaknya dihargai dari beberapa ratus dolar hingga sekitar $1.000 per proyek.
“Ini adalah bangsa yang oportunis,” ujar Barnhart dari DTEX. Sementara banyak perusahaan telah mulai menyadari bahwa pekerja TI Korea Utara seringkali melamar pekerjaan teknologi jarak jauh, menggunakan identitas palsu, deepfake dalam panggilan video, dan pekerja lokal untuk menjalankan operasi mereka, mereka terus-menerus mengubah pendekatan mereka. Barnhart mengatakan tampaknya pekerjaan arsitektural telah berhasil bagi para pekerja Korea Utara yang dituduh tersebut dan bukti menunjukkan bahwa program pekerja TI tersebut bisa lebih halus daripada sekadar mencoba direkrut oleh perusahaan-perusahaan.
“Mereka pindah ke tempat-tempat yang tidak kita perhatikan,” kata Barnhart. “Mereka juga melakukan hal-hal seperti pusat panggilan. Mereka mengerjakan HR dan penggajian serta akuntansi. Hal-hal yang perannya jarak jauh dan belum tentu perekrutan jarak jauh.”