_Scope Note: Insikt Group examined North Korean senior leadership’s internet activity by analyzing third-party data, IP geolocation, Border Gateway Protocol (BGP) routing tables, and open source intelligence (OSINT) using a number of tools. The data analyzed for this report spans from March 16, 2018 through August 30, 2018.

This report will be of greatest interest to government departments and organizations within the technology, finance, defense, cryptocurrency, and logistics sectors, as well as those investigating North Korean sanctions circumvention, illicit financing, and state-sponsored cyberespionage._

Executive Summary

Over the course of the past year and a half, Recorded Future has published a series of research pieces revealing unique insight into the behavior of North Korea’s most senior leadership. We discovered that North Korea’s ruling elite are technologically savvy, use a full range of older and cutting-edge computers, phones, and devices, use the internet as a tool for sanctions circumvention, and recently shifted to embrace Chinese social networking services over Western ones.

In this final piece in our series, we explore the persistence of trends in internet security, social media use, and cryptocurrency, and reveal greater insight into the way North Korea uses the internet to generate revenue for the Kim regime. In particular, shifting patterns in the ruling elite’s internet usage reveal just how adaptable and innovative North Korea’s most senior leadership are. The Kim regime has developed a model for using and exploiting the internet that is unique, and leadership are quick to embrace new services or technologies when useful and cast them aside when not.

Key Judgments

• Pattern-of-life and content shifts indicate that the internet is probably becoming a more regular professional tool for North Korea’s most senior leadership. As senior leadership become more internet savvy and professionalize their use of the internet, it will exacerbate existing challenges in sanctions enforcement and computer network defense.
• North Korean senior leaders exhibit significantly greater operational security today than in early 2017. This awareness combined with the increasing global use of large domain hosting and internet infrastructure providers has over time negatively impacted our visibility into the daily internet activities of North Korea’s ruling elite.
• Using behavioral heuristic, we identified several nations that are likely to be hosting North Korean workers who are employed in the service or information economy as opposed to purely manual laborers. These countries include China, India, Nepal, Bangladesh, Mozambique, Kenya, Thailand, and Indonesia.
• We have discovered an asset-backed cryptocurrency scam called Marine Chain operated by a network of North Korea enablers in Singapore, and at least one other scam coin, called Interstellar, Stellar, or HOLD (recently rebranded as HUZU after a swap), also possibly tied to North Korea.
• The migration away from Western social media and services we observed in early 2018 has persisted, with the exception of LinkedIn. We observed low-volume but regular and consistent use of LinkedIn by North Korean leaders beginning in April 2018. We were not able to identify any individual LinkedIn users.

Background

Comme l'ont démontré nos recherches menées depuis avril 2017, seuls quelques membres de la haute direction nord-coréenne ont un accès direct à l'Internet mondial. Bien qu'il n'existe pas de chiffres fiables concernant le nombre d'utilisateurs d'Internet en Corée du Nord, les journalistes estiment qu'il s'agit « d'un nombre très restreint »,« du cercle restreint des dirigeants nord-coréens » ou «de quelques dizaines de familles seulement ». Quel que soit leur nombre exact, le profil des internautes nord-coréens est clair : il s'agit de membres de confiance ou de membres de la famille de la classe dirigeante.

There are three primary ways North Korean elites access the global internet. The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only internet-accessible websites. These include nine top-level domains such as co.kp, gov.kp, and edu.kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

La deuxième méthode consiste à utiliser une plage attribuée par China Netcom, 210.52.109.0/24. Le nom de réseau « KPTC » est l'abréviation de Korea Posts and Telecommunications Co., la société nationale de télécommunications. La troisième méthode consiste à utiliser une plage attribuée, 77.94.35.0/24, fournie par une société russe de satellites, qui renvoie actuellement vers SatGate au Liban.

Timeline of events involving North Korea’s IP ranges from March through August 2018.

De plus, comme nous l'avons identifié en avril, l'adresse 175.45.176.0/22 La gamme est acheminée à la fois par China Unicom (AS4837) et par la société russe TransTelekom (AS20485). Parmi les quatre sous-réseaux de cette plage (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 et 175.45.179.0/24), Nous avons continué à observer uniquement l'adresse 175.45.178.0/24. étaient acheminés via TransTelekom ; les trois autres étaient acheminés exclusivement par China Unicom.

Note: From this point on, when we refer to “North Korean internet activity” or “behavior,” we are referring to the use of the global internet, for which only select few leaders and ruling elite are permitted access, not the North Korean domestic intranet (Kwangmyong). This data does not give us any insight into intranet activity or behavior by the larger group of privileged North Koreans who are permitted access to Kwangmyong, or diplomatic and foreign establishments that are located in North Korea.

Internet Usage Consistent — Pattern Shifts Since April 2017

North Korean leaders’ distinct patterns of daily internet usage have remained consistent since April 2017. Generally, the times of highest activity are from approximately 8:00 AM through 8:00 PM or 9:00 PM.

Daily internet usage by hour (not an average) from March through August 2018.

However, the days of peak activity have shifted over time. In 2017, Saturdays and Sundays were consistently the days with the highest activity. In particular, Saturday nights and early Sunday mornings had peaks that consisted primarily of online gaming or content streaming. Over the course of 2018, the pattern has shifted, and internet use on traditional workdays (Monday through Friday) has increased while weekend usage has decreased. On Saturdays and Sundays, content streaming and gaming still remains dominant; however, it represents a smaller portion of the overall weekly internet use than we observed last year.

Daily internet usage by hour and day (not an average) from March through August 2018.

Daily internet usage by hour (not an average) from pre-March 2018.

Bien que les facteurs à l'origine de ce changement soient inconnus, cette évolution au fil du temps indique que l'utilisation d'Internet occupe désormais une place plus importante dans la journée de travail des dirigeants nord-coréens. En août 2018, la Corée du Nord a achevé la construction extérieure du nouveau siège de son Bureau des communications Internet, situé à Pyongyang. Selon North Korea Tech, l'objectif du nouveau siège social n'est pas clair, mais il pourrait être axé sur l'accès à l'Internet mondial.

It appears the new building plays a part in facilitating Pyongyang’s connection to the greater global internet, but its exact role hasn’t been reported. It could perhaps be meant to hold servers that provide the handful of sites that Pyongyang has on the web, or as a gateway center to monitor and help control all traffic flowing between North Korea and the rest of the world.

It is possible that this shift in usage patterns combined with the completion of the Internet Communication Bureau headquarters could signify a professionalization of internet use across North Korea’s most senior leadership. This would mean that these leaders utilize the internet to a greater extent as part of their jobs, as opposed to for their own entertainment.

Operational Security Behavior Moderates

In our April analysis, we noticed two dramatic behavioral trends among North Korean internet users. First was the marked increase in the use of operational security techniques, such as Virtual Private Networks (VPN), Virtual Private Servers (VPS), Transport Layer Security (TLS), and The Onion Router (Tor). In April, we identified a 1,200 percent increase in the use of these services by North Korean leaders, which marked a significant departure from their previous behavior in conducting primarily unprotected internet activity.

Since then, that spike in operational security measures has moderated. In early 2018, obfuscated browsing accounted for 13 percent of all North Korean leadership internet activity. By September 2018, that percentage declined to just over five percent. Previously, the use of VPN technologies accounted for 63 percent of obfuscated internet activity. Over the subsequent six months, VPN use among North Korean leadership declined to just 50 percent of obfuscated activity. The use of HTTPS (via port 443), or secured browsing, increased to 49 percent of operationally secure browsing. In the aggregate, however, the reduction in VPN use accounted for most of the decline in obfuscated browsing.

Les raisons de cette baisse de l'utilisation des VPN par les dirigeants nord-coréens ne ressortent pas clairement de nos données. D'une part, certains protocoles VPN peuvent être gourmands en ressources informatiques ou peu fiables, la plupart nécessitent un abonnement et des paiements réguliers, et beaucoup ont des limites en termes de nombre d'appareils ou n'acceptent toujours pas les cryptomonnaies. D'autre part, la plupart des fournisseurs de services VPN proposent une application et des instructions de configuration simples. De plus, le prix des VPN a tellement baissé que les utilisateurs peuvent désormais bénéficier de services VPN fiables et réputés pour seulement 3 dollars par mois.

What is most likely is that North Korean internet users initially adopted stronger internet privacy methodologies because of an external stimulus or requirement. In April of this year, we assessed that this behavioral change was likely a result of increasing international attention on North Korea’s internet and media activities, new enforcement of an official ban, or a new operational security requirement.

The imposition of a requirement or policy on North Korean users was the most likely source for the dramatic increase in internet security followed by this subsequent moderation. The requirement likely drove a spike in security measures by North Korean leadership users, which then slowly waned over time as the costs in time, money, and accessibility began to outweigh the benefits.

Continued Use of Chinese Social Media Since Early 2018

In early 2018, we observed North Koreans migrate almost completely away from Western social media and services to their Chinese equivalents. This change occurred over the course of six months, from late 2017 through early 2018. North Korean leadership users abruptly switched from services such as Facebook, Instagram, and Google to services run by their Chinese equivalents, such as Baidu, Alibaba, and Tencent.

Since March 1, 2018, that migration away from Western social media and services has persisted. North Korean leaders use Alibaba more than twice as much as any other service, Western or Chinese. Activity on Alibaba includes video and game streaming, search, and shopping.

Hourly activity on eight social networking, shopping, and search sites from March 1, 2018 through August 28, 2018 (actual). Providers are listed by popularity, from Alibaba (highest) to Instagram (lowest).

While the majority of U.S. services continued to experience decreased North Korean leadership use, since April 2018, we observed an increase in the use of LinkedIn. The volume of activity on LinkedIn was lower than the levels we observed on Facebook or Instagram in July 2017. However, the use of LinkedIn was regular and persisted through the end of this dataset in August 2018. The traffic levels indicate far fewer current LinkedIn users than Facebook users in 2017, but represent an interesting counter to the persistent movement away from western social networking services.

Increase in Cryptocurrency Exploitation

In our prior research, we discovered that North Korean leaders were mining both Bitcoin and Monero, albeit at a limited or relatively small scale. For this time period — March 2018 through August 2018 — the traffic volume and rate of communication with peers was the same for both coins as last year, and we were still unable to determine hash rates or builds. We believe these particular mining efforts are likely still small scale and limited to just a few machines.

What has changed dramatically over this March 2018 through August 2018 time frame, however, is the exploitation of cryptocurrencies, asset-backed “altcoins,” and the cryptocurrency ecosystem by North Korea.

En juin 2018, nous avons commencé à remarquer un certain nombre de connexions et un transfert important de données avec plusieurs nœuds associés à l'altcoin appelé Interstellar, Stellar ou HOLD coin. La cryptomonnaie HOLD est considérée comme une «altcoin », ce qui désigne toute cryptomonnaie autre que le Bitcoin, y compris certaines des cryptomonnaies les plus établies et les plus utilisées telles que Monero, Ethereum et Litecoin. Il existe plus de 1 000 altcoins, et la plupart sont des variantes du modèle Bitcoin.

In early 2018, HOLD coin went through a process to generate interest and initial revenue called staking. Staking is when users mine an initial number of coins but are not allowed to trade them for a set period of time. The coin is then able to build up value and a user base, allowing the coin developers to control the value of the coin by regulating which wallets can trade at any one point in time. Participating in the staking of a new or unknown altcoin can be risky because the developers control the staking time frame and can limit trades to the extent that many users lose their investments when the value of the coin depreciates, and they are then unable to trade their staked coins.

Au cours de l'année 2018, la cryptomonnaie HOLD a été cotée puis retirée d'une série de bourses, a fait l'objet d'un échange et d'un changement de nom en août 2018 (elle s'appelle désormais HUZU) et, à la date de publication du présent document, a laissé ses investisseurs HOLD dans une situation difficile. Nous estimons avec un faible degré de confiance que des utilisateurs nord-coréens ont été impliqués dans les altcoins Interstellar, Stellar ou HOLD.

Editor’s NoteNous avons modifié le paragraphe ci-dessus afin de préciser que le changement de nom et de marque de HOLD à HUZU est intervenu à la fin de la période couverte par le rapport.

We have discovered at least one other blockchain scam that we assess with high confidence was conducted on behalf of North Korea. This was a blockchain application called Marine Chain Platform.

En août 2018, nous avons découvert des discussions sur Marine Chain en tant que cryptomonnaie sur plusieurs forums consacrés au Bitcoin. Marine Chain était censée être une cryptomonnaie adossée à des actifs qui permettait la tokenisation de navires maritimes pour plusieurs utilisateurs et propriétaires. Les utilisateurs d'autres forums ont signalé que www[.]marine-chain[.]io était pratiquement identique à un autre site, www[.]shipowner[.]io.

Captures d'écran d'avril 2018 de marine-chain[.]io et shipowner[.]io fournies par les participants au forum.

Domain registration history for marine-chain[.]io.

Marine-chain[.]io a été hébergé à quatre adresses IP différentes depuis son enregistrement. Du 9 avril 2018 au 28 mai 2018, marine-chain[.]io était enregistré à l'adresse 104[.]25[.]81[.]109. Pendant cette période, cette adresse IP hébergeait également un site d'actualités cryptographiques aujourd'hui disparu, appelé allcryptotalk[.]net. qui n'a pas publié de nouveau contenu depuis juin 2015, et le site web d'une société frauduleuse de trading d'options binaires appelée Binary Tilt. Cette entreprise a été déclarée frauduleuse par le gouvernement de l'Ontario, au Canada, et des dizaines d'utilisateurs ont publié sur ce site des témoignages faisant état de pertes allant de plusieurs dizaines à plusieurs centaines de milliers de dollars et d'escroqueries.

Le site Web Marine Chain n'est plus accessible, mais il était exploité par une société appelée Marine Chain Platform. À l'exception d'une page LinkedIn, l'entreprise avait une présence en ligne minimale, aucun témoignage de clients et peu d'employés. La page LinkedIn de Marine Chain était associée à un certain Tony Walker, qui se présentait comme un « spécialiste de la blockchain dans le secteur maritime » et conseiller du PDG de Marine Chain Platform depuis mai 2017.

Le 1er octobre 2018, une recherche sur LinkedIn concernant Marine Chain Platform a également permis de trouver un autre conseiller nommé HyoMyong Choi. M. Choi s'est présenté comme un investisseur en cryptomonnaies en Corée, un conseiller en ICO et un investisseur providentiel. Il a également indiqué qu'il occupait simultanément le poste de directeur de l'exploitation (COO) d'une autre société appelée InnoShore, LLC.

LinkedIn profile for HyoMyong Choi from October 1, 2018.

LinkedIn profile for HyoMyong Choi from October 15, 2018. In this screenshot, Mr. Choi has removed both his Marine Chain Platform and InnoShore, LLC experiences.

Both Mr. Walker and Mr. Choi claim to have attended the National University of Singapore and possess many of the same endorsers. Mr. Choi is also known as Adrian Ong, as evidenced by his (likely fake) Facebook page. The account was created in March 2018 and the profile picture was stolen from an employee of a South Korean company that helps Korean students attend U.S. and U.K. universities.

Facebook page for HyoMyong Choi, or Adrian Ong (face blacked out to preserve privacy of victim).

Choi (Mr. Ong) had only two friends, both located in Southeast Asia with large social networks. Aside from these two accounts, Choi (or Mr. Ong) has no other online presence.

L'autre employé important de Marine Chain Platform que nous avons pu retrouver est le PDG, un homme nommé Jonathan Foong Kah Keong. Selon son profil LinkedIn, le capitaine M. Foong est actif dans le secteur maritime à Singapour depuis plusieurs décennies. Bien qu'il ne mentionne pas actuellement son poste chez Marine Chain sur son profil LinkedIn, il est intervenu lors de nombreux événements au cours de l'année écoulée et a régulièrement fait référence à son poste chez Marine Chain ou en tant que fondateur de marine-chain[.]io.

Screenshot of a forum Foong attended on the shipping industry and blockchain from April 2018 that lists his title as CEO of marine-chain[.]io.

Qu'est-ce qui rend le capitaine Ce qui distingue Foong des autres escrocs spécialisés dans les cryptomonnaies ou la blockchain, c'est qu'il est lié à des entreprises singapouriennes qui ont aidé la Corée du Nord à contourner les sanctions depuis au moins 2013. Dans une étude publiée en 2015 par le site web 38North.org, spécialisé dans les questions relatives à la Corée du Nord, le capitaine M. Foong est identifié à deux reprises comme travaillant pour ou conseillant des entreprises à Singapour qui « ont facilité des activités illicites pour le compte de la Corée du Nord et qui ont des relations avec des entités sanctionnées par les Nations unies ».

Les sociétés Capt. M. Foong a travaillé pour des entités soupçonnées d'avoir manipulé les registres nationaux des pavillons de trois pays, qui étaient fréquemment utilisés comme pavillons de complaisance pour des navires nord-coréens.

Capt. Foong is part of a network of enablers throughout the world that assist North Korea in circumventing international sanctions. These connections to Marine Chain Platform mark the first time this vast and illicit network has utilized cryptocurrencies or blockchain technology to raise funds for the Kim regime.

De manière générale, ces types d'escroqueries liées aux cryptomonnaies correspondent au modèle de criminalité financière de faible intensité décrit par les transfuges qui sévit en Corée du Sud depuis des années et que la communauté internationale commence tout juste à surveiller. Il s'agit d'une évolution naturelle tant pour un groupe d'acteurs profondément ancré dans l'univers des cryptomonnaies depuis plusieurs années que pour un réseau contraint d'innover en matière de financement afin de contrer les effets des sanctions internationales.

North Korean Presence in Foreign Countries: More Details Emerge

In our prior research, we developed a heuristic to identify significant physical and virtual North Korean presences in nations around the world. That heuristic included above-average levels of North Korean internet activity to and from these nations, but also the browsing and use of many local resources, such as news outlets, district or municipal governments, local educational institutions, and more.

This technique enabled us to identify eight nations where North Koreans were physically located or living, including India, China, Nepal, Kenya, Mozambique, Indonesia, Thailand, and Bangladesh. For this latest time period (March 2018 through August 2018), we re-examined North Korean internet activity involving these eight nations and obtained greater fidelity on data from China and India.

China

Distilling the internet activity from likely North Koreans in China has been complicated by the extensive use of Chinese internet services by North Korean leaders, such as those provided by Alibaba, Baidu, and Tencent. Until now, Recorded Future has had little insight into the geographies that may host North Koreans or the local resources utilized.

Au niveau local, et parmi nos données heuristiques, nous avons observé une activité intense dans les régions de Pékin, Shanghai et Shenyang, mais également à Nanchang, Wuhan et Guangzhou. Certaines de ces villes et régions se trouvent en dehors de ce qui était considéré comme la zone traditionnelle du nord-est où opéraient les Nord-Coréens en Chine.

We also discovered additional leads on North Koreans in the Chinese academic sector that had been previously obscured. The following is a list of Chinese universities that we assess with moderate confidence currently host, or previously hosted, North Korean students, teachers, or partners.

• Shanghai Jiaotong University
• Jiangxi Normal University
• Tsinghua University
• Wuhan Commercial Service College
• Guangxi Normal University
• Fudan University
• Tianjin Medical University

Inde

Bien que le comportement de la Corée du Nord à l'égard de l'Inde n'ait pas changé au cours de cette période, nous avons pu obtenir quelques détails supplémentaires. Une grande partie de l'activité indienne concernait plusieurs zones économiques spéciales (ZES), en particulier celles de Noida et de Cochin.

At the local level, and as a subset of our heuristic data, we discovered high volumes of activity involving Delhi, Bangalore, Kolkata, and Hyderabad. We again observed suspicious traffic involving the Indian Meteorological Department and National Remote Sensing Centre, but were not able to determine maliciousness.

Pour la plupart de ces pays, cette heuristique correspondait étroitement aux réseaux connus de financement illicite ou de logistique nord-coréens. Les recherches menées par l'organisation à but non lucratif C4ADS sur les réseaux de financement illicite de la Corée du Nord en sont un excellent exemple. En août, C4ADS a publié un rapport présentant le profil du travail forcé nord-coréen à l'étranger par pays et par secteur, notamment dans les restaurants et l'industrie manufacturière. Ce chevauchement répété entre les réseaux de financement illicite nord-coréens et l'activité sur Internet nous a incités à réexaminer les raisons pour lesquelles la Russie ne correspondait pas à notre heuristique comportementale.

Russia

From a volume perspective, activity involving Russia was a mere fraction of the North Korean internet activity that involved China or India (about .05 percent of the volume from China, for example). In terms of services, North Koreans used Russian services on a very limited basis, with regular visits to mail.ru and only occasional use of Yandex. At the city level, the small volume of activity involved primarily Sochi, the Moscow region, and Vladivostok.

Il est possible que les types de Nord-Coréens présents en Russie pendant cette période (mars 2018 à août 2018) aient été différents de ceux que nous avons identifiés dans de nombreux autres pays. Un grand nombre de travailleurs nord-coréens en Russie sont des ouvriers manuels, souvent logés et travaillant dans des conditions «proches de l'esclavage »ou «inhumaines». Cela contraste avec certains travailleurs nord-coréens dans d'autres pays, comme la Chine, qui sont des ouvriers dans l'économie de l'information et développent des jeux mobiles, des applications, des robots et d'autres produits informatiques pour une clientèle mondiale. Bien qu'il existe également un grand nombre de travailleurs manuels en Chine, il est possible que la Russie accueille moins de travailleurs nord-coréens qualifiés. Ce type de travail dans l'économie de l'information crée une empreinte Internet différente de celle du travail manuel exploité et permet probablement de clarifier la différence entre la présence physique et l'activité sur Internet.

Par conséquent, nous estimons que les pays que nous identifions grâce à notre heuristique comportementale sont plus susceptibles d'accueillir des travailleurs nord-coréens dans le secteur des services ou de l'économie de l'information. Bien que ces travailleurs continuent d'envoyer une grande partie de leurs revenus dans leur pays d'origine, ils ont besoin d'un accès à Internet pour leur travail quotidien ou parce qu'ils sont en contact avec la clientèle, et vivent probablement dans des conditions moins difficiles.

Outlook

Au cours des 18 derniers mois, nos recherches sur la Corée du Nord ont fourni un aperçu sans précédent de la vie numérique des plus hauts dirigeants nord-coréens. Nous avons suivi et analysé l'activité des dirigeants à un moment unique dans les relations entre les États-Unis et la Corée du Nord : la durée de la campagnede « pression maximale », la période où les lancements et les essais de missiles ont été les plus intenses, et le tout premier sommet entre un dirigeant américain et un dirigeant nord-coréen.

At its core, this research series has demonstrated how adaptable and innovative North Korea’s most senior leadership are. They are quick to embrace new services or technologies when useful and cast them aside when not. The Kim regime has developed a model for using and exploiting the internet that is unique — it is a nation run like a criminal syndicate.

In particular, the Kim regime has cultivated the internet as a potent tool for revenue generation and sanctions circumvention by utilizing (and exploiting) cryptocurrencies, various interbank transfer systems, the pluralized nature of the “gig economy,” online gaming, and more. They have paired this with a decades-old smuggling network and system of corrupted diplomats, embassies, and consulates.

It is this marrying of the physical and virtual that enables North Korea’s success and confounds international regulators and enforcers. It may never be possible to assign an exact dollar figure to the value North Korea derives from the internet, but its significance cannot be underestimated.

Au niveau international, les pays commencent tout juste à se pencher sur la nature mondialisée et la menace que représentent les opérations nord-coréennes sur Internet. Les États-Unis, en particulier, ont déposé une plainte pénale contre un opérateur nord-coréen, Park Jin Hyok, et ont impliqué de nombreuses autres personnes. Il s'agit d'une excellente première mesure, qui doit être suivie d'autres actions visant à faire connaître les opérations sur Internet, à établir des contacts avec des partenaires diplomatiques non traditionnels et à mettre en place des mécanismes plus souples et plus dynamiques pour contrer les tentatives de contournement des sanctions par la Corée du Nord via Internet.

This will also be our final regular report on North Korean leadership internet activity because our insight has been limited as a result of two trends: the use of internet security and anonymization services by North Korean leaders, and the proliferation of domain privacy and large-scale hosting services.

First, even though North Korean ruling elite have scaled back on their internet security procedures, the broad trend for both North Koreans and across all internet users is up. This means that it will only get harder over time to track North Korean internet browsing and reveal new insights.

Second, large technology companies are providing an increasing breadth of services to customers, from DNS, to content delivery, to cloud services, and more. From a network perspective, it is incredibly difficult to discern the end content behind a generic DigitalOcean, Cloudflare, or GoDaddy registration. Even ports and protocols only provide so much data, and oftentimes, an IP that terminates in a DigitalOcean box reveals nothing.

We will still monitor North Korea’s IP ranges and report on critical discoveries or events on an ad hoc basis.

Network Defense Recommendations

Recorded Future recommends organizations conduct the following measures when identifying potential North Korean activity on their networks:

• Configure your intrusion detection systems (IDS) and intrusion prevention systems (IPS) to alert on, and upon review, consider blocking illicit connection attempts from the following prominent North Korean IP ranges:
• 175.45.176.0/22
• 210.52.109.0/24
• 77.94.35.0/24
• More specifically, to detect and prevent North Korean cryptocurrency mining efforts, consider configuring your intrusion detection systems (IDS) and intrusion prevention systems (IPS) to alert on, and upon review, block illicit connection attempts from the following prominent North Korean IP ranges connecting to your network over TCP ports:
• 10130 and 10131 for HOLD coin
• 8332 and 8333 for Bitcoin
• 18080 and 18081 for Monero
• 9332 and 9333 for Litecoin

Note: The aforementioned ports are the default ports configured for the given cryptocurrencies. It is plausible for cryptocurrency mining software to have been modified to override the default ports. Furthermore, other services may also be configured to operate on the listed ports based on your enterprise configuration, and therefore, IDS and/or IPS alerting of network traffic on the listed ports may yield false positives.

• Analyze network DNS traffic to detect and block suspicious traffic relating to HOLD coin cryptocurrency mining (e.g., domains including the term “stellarhold”).
• Consider implementing a software whitelisting program across the enterprise to counteract the possibility of cryptocurrency mining software being downloaded and operated from within the network.
• Many cryptocurrency miners use Internet Relay Chat (IRC) for coordination. Unless IRC is an application required for your enterprise, consider blocking the default IRC TCP port 6667 via your IDS and IPS to mitigate cryptocurrency mining activity using IRC.
• Know your organization’s VPN services and protocols and block or carefully scrutinize non-standard VPN traffic.

Additionally, we advise organizations to follow the following general information security best practice guidelines:

• Keep all software and applications up to date; in particular, operating systems, antivirus software, and core system utilities.
• Filter email correspondence and scrutinize attachments for malware.
• Make regular backups of your system and store the backups offline, preferably offsite so that data cannot be accessed via the network.
• Have a well-thought-out incident response and communications plan.
• Adhere to strict compartmentalization of company-sensitive data. In particular, look at which data anyone with access to an employee account or device would have access to (e.g., through device or account takeover via phishing).
• Strongly consider instituting role-based access, limiting company-wide data access, and restricting access to sensitive data.
• Employ host-based controls; one of the best defenses and warning signals to thwart attacks is to conduct client-based host logging and intrusion detection capabilities.
• Implement basic incident response and detection deployments and controls like network IDS, netflow collection, host logging, and web proxy, alongside human monitoring of detection sources.
• Be aware of partner or supply chain security standards. Being able to monitor and enforce security standards for ecosystem partners is an important part of any organization’s security posture.