Les autorités fédérales ont interpellé un homme de Nashville, accusé d’avoir hébergé des ordinateurs portables à son domicile dans le cadre d’un stratagème visant à tromper des entreprises américaines pour qu’elles engagent des travailleurs informatiques étrangers, qui ont détourné des centaines de milliers de dollars pour financer le programme d’armement de la Corée du Nord.
Selon les procureurs fédéraux, le plan consistait à amener des entreprises américaines à recruter à leur insu des ressortissants nord-coréens, qui utilisaient l’identité volée d’un homme de Géorgie pour se faire passer pour un citoyen américain. En vertu des sanctions imposées par le gouvernement fédéral, les employeurs américains ne sont strictement pas autorisés à embaucher des citoyens nord-coréens. Une fois les ressortissants nord-coréens engagés, les employeurs envoyaient des ordinateurs portables fournis par l’entreprise à Matthew Isaac Knoot, 38 ans, de Nashville, Tennessee, selon les documents judiciaires déposés au tribunal de district des États-Unis pour le district moyen du Tennessee. Les documents judiciaires mentionnent également un ressortissant étranger utilisant le pseudonyme Yang Di, impliqué dans la conspiration.
Les procureurs ont écrit :
Dans le cadre de la conspiration, Knoot a reçu et hébergé des ordinateurs portables fournis par des entreprises américaines à Andrew M. dans ses résidences de Nashville, Tennessee, dans le but de tromper les entreprises en leur faisant croire qu’Andrew M. se trouvait aux États-Unis. Après avoir reçu les ordinateurs portables et sans autorisation, Knoot s’est connecté aux ordinateurs, a téléchargé et installé des applications de bureau à distance, et a accédé sans autorisation aux réseaux des entreprises victimes. Les applications de bureau à distance ont permis à DI de travailler depuis des lieux en dehors des États-Unis, notamment en Chine, tout en donnant l’impression aux entreprises victimes qu’Andrew M. travaillait depuis les résidences de Knoot. En échange, Knoot facturait à Di des frais mensuels pour ses services, y compris des tarifs fixes pour chaque ordinateur hébergé et un pourcentage du salaire de Di pour le travail informatique, s’enrichissant grâce à ce stratagème.
L’arrestation est survenue deux semaines après que la société de formation en sécurité KnowBe4 a déclaré avoir engagé sans le savoir un ressortissant nord-coréen utilisant une fausse identité pour se faire passer pour un candidat éligible à un poste d’ingénieur logiciel au sein d’une équipe interne d’IA. L’équipe de sécurité de KnowBe4 a rapidement commencé à soupçonner le nouvel employé après avoir détecté des « activités anormales », notamment la manipulation de fichiers d’historique de session, le transfert de fichiers potentiellement nuisibles et l’exécution de logiciels non autorisés.
Le ressortissant nord-coréen a été engagé malgré les vérifications de fond effectuées par KnowBe4, qui a vérifié les références et réalisé quatre entretiens vidéo avec lui en tant que candidat. Le faux candidat a réussi à contourner ces vérifications en utilisant une identité volée et une photo modifiée avec des outils d’IA pour créer une image de profil fictive et imiter son visage lors des appels vidéo.
En mai, des procureurs fédéraux ont accusé une femme de l’Arizona d’avoir levé 6,8 millions de dollars dans un stratagème similaire pour financer le programme d’armement. La défenderesse dans cette affaire, Christina Marie Chapman, 49 ans, de Litchfield Park, Arizona, et ses complices ont compromis les identités de plus de 60 personnes vivant aux États-Unis et ont utilisé leurs informations personnelles pour obtenir des emplois informatiques pour des Nord-Coréens dans plus de 300 entreprises américaines.
Le FBI ainsi que les départements d’État et du Trésor ont émis un avis en mai 2022 alertant la communauté internationale, le secteur privé et le public sur une campagne en cours visant à obtenir des emplois informatiques pour des ressortissants nord-coréens en violation des lois de nombreux pays. Les responsables américains et sud-coréens ont publié des directives mises à jour en octobre 2023 et à nouveau en mai 2024. Ces avis incluent des signes pouvant indiquer une fraude liée aux travailleurs informatiques nord-coréens et l’utilisation de fermes de portables basées aux États-Unis.
Les travailleurs informatiques nord-coréens utilisant la ferme de portables de Knoot ont généré des revenus de plus de 250 000 dollars chacun entre juillet 2022 et août 2023. Une grande partie des fonds a ensuite été détournée vers le programme d’armement de la Corée du Nord, qui inclut des armes de destruction massive, selon les procureurs.
Knoot fait face à des accusations, notamment de fraude par câble, de dommages intentionnels à des ordinateurs protégés, de vol d’identité aggravé et de conspiration pour provoquer l’emploi illégal d’étrangers. S’il est reconnu coupable, il risque jusqu’à 20 ans de prison.