Tabel-tabel tersebut menunjukkan target potensial pekerjaan bagi para pekerja IT. Salah satu lembar, yang tampaknya memuat pembaruan harian, mencantumkan deskripsi pekerjaan (“butuh developer React dan Web3 baru”), perusahaan yang mengiklankannya, serta lokasinya. Juga ada tautan ke lowongan di situs freelancer atau detail kontak bagi yang melakukan perekrutan. Kolom “status” menunjukkan apakah mereka “menunggu” atau sudah ada “kontak”.
Cuplikan satu spreadsheet yang dilihat WIRED tampaknya memuat nama asli para pekerja IT. Di samping setiap nama terdaftar merek dan model komputer yang mereka miliki, termasuk monitor, hard drive, serta nomor seri perangkat. Sang “master boss”, yang namanya tidak tercantum, rupanya menggunakan monitor 34 inci dan dua hard drive 500GB.
Satu halaman “analisis” dalam data yang dilihat SttyK, peneliti keamanan, menampilkan daftar jenis kerja yang dilakukan kelompok penipu ini: AI, blockchain, web scraping, pengembangan bot, pengembangan aplikasi mobile dan web, trading, pengembangan CMS, pengembangan aplikasi desktop, dan “lainnya”. Setiap kategori memiliki anggaran potensial dan kolom “total dibayar”. Belasan grafik dalam satu spreadsheet mengklaim melacak jumlah pembayaran, wilayah paling menguntungkan, serta apakah pembayaran mingguan, bulanan, atau lump sum yang paling sukses.
“Ini dijalankan secara profesional,” kata Michael “Barni” Barnhart, peneliti ancaman dan peretasan Korea Utara terkemuka yang bekerja untuk firma keamanan DTEX. “Semua orang harus memenuhi kuota. Semua harus dicatat. Semua harus didokumentasikan,” ujarnya. Ia menambahkan bahwa ia melihat tingkat pencatatan serupa dengan kelompok peretasan canggih Korea Utara, yang mencuri miliaran dalam kripto dan sebagian besar terpisah dari skema pekerja IT. Barnhart telah melihat data yang diperoleh SttyK dan mengatakan itu tumpang tindih dengan apa yang ia dan peneliti lain lacak.
“Saya yakin data ini sangat nyata,” kata Evan Gordenker, manajer senior konsultasi di tim intelijen ancaman Unit 42 dari Palo Alto Networks, yang juga telah melihat data SttyK. Gordenker menyatakan firma mereka telah melacak beberapa akun dalam data dan bahwa salah satu akun GitHub menonjol sebelumnya memublikasikan file pekerja IT secara terbuka. Tidak ada alamat email terkait DPRK yang merespons permintaan komentar WIRED.
GitHub menangguhkan tiga akun developer setelah WIRED menghubungi mereka. Raj Laud, kepala keamanan siber dan keselamatan online perusahaan, mengatakan akun-akun itu ditangguhkan sesuai aturan “spam dan aktivitas tidak autentik”. “Maraknya aktivitas ancaman negara seperti ini adalah tantangan industri dan masalah kompleks yang kami anggap serius,” kata Laud.
Google menolak berkomentar tentang akun spesifik yang diberikan WIRED, mengutip kebijakan privasi dan keamanan akun. “Kami punya proses dan kebijakan untuk mendeteksi operasi ini dan melaporkannya ke penegak hukum,” ujar Mike Sinno, direktur deteksi dan respons Google. “Proses ini termasuk mengambil tindakan terhadap aktivitas penipuan, memberitahu organisasi target secara proaktif, serta bekerja sama dengan kemitraan publik dan swasta untuk berbagi intelijen ancaman guna memperkuat pertahanan terhadap kampanye ini.”