Nach Angaben der Ermittler betrieb Didenko seit Anfang 2021 die Website Upworksell[.]com, über die im Ausland tätige IT-Arbeiter gestohlene oder geliehene Identitäten kaufen oder mieten konnten. Mit diesen Identitäten bewarben sich die Arbeiter auf Freelancer-Plattformen mit Sitz in Kalifornien und Pennsylvania. Die Website wurde am 16. Mai 2024 von den Behörden beschlagnahmt.
Um den Eindruck zu erwecken, die Arbeiter befänden sich tatsächlich in den USA, bezahlte Didenko Personen im Land dafür, an ihren Wohnsitzen in Virginia, Tennessee und Kalifornien Laptops entgegenzunehmen und zu beherbergen. In Wirklichkeit verbanden sich die Arbeiter aus Ländern wie China, wohin sie entsandt worden waren, per Fernzugriff mit diesen Rechnern.
Im Rahmen des Schemas verwaltete Didenko bis zu 871 Proxy-Identitäten und ermöglichte den Betrieb von mindestens drei in den USA ansässigen “Laptop-Farmen”. Einer der Rechner ging an eine Laptop-Farm, die Christina Marie Chapman in Arizona führte. Chapman wurde im Mai 2024 festgenommen und im Juli 2025 zu 102 Monaten Haft verurteilt, weil sie an dem Programm beteiligt war.
Darüber hinaus verschaffte Didenko seinen nordkoreanischen Klienten Zugang zum US-Finanzsystem über sogenannte Money Service Transmitters, sodass diese kein Konto bei einer US-Bank eröffnen mussten. Über diese Geldtransferdienste wurden Arbeitseinkünfte auf ausländische Bankkonten verschoben. Den Angaben zufolge erhielten Didenkos Klienten Hunderttausende Dollar für ihre Arbeit.
“Das Schema des Angeklagten Didenko leitete Geld von Amerikanern und US-Unternehmen in die Kassen Nordkoreas, eines feindlichen Regimes”, erklärte die US-Staatsanwältin Jeanine Ferris Pirro. “Heute ist Nordkorea nicht nur eine Bedrohung für das Heimatland aus der Ferne, es ist ein Feind im Innern.” Mit gestohlenen und gefälschten Identitäten unterwanderten nordkoreanische Akteure amerikanische Unternehmen und entwendeten Informationen, Lizenzen und Daten; das an diese vermeintlichen Angestellten gezahlte Geld fließe direkt in nordkoreanische Rüstungsprogramme.
Trotz anhaltender Strafverfolgung zeigt die Operation keine Anzeichen eines Endes, sondern entwickelt sich mit neuen Taktiken zur Tarnung weiter. Laut einem kürzlich veröffentlichten Bericht der Threat-Intelligence-Firma Security Alliance (SEAL) bewerben sich die IT-Arbeiter inzwischen mit echten LinkedIn-Konten jener Personen, die sie imitieren, um ihre betrügerischen Bewerbungen authentischer wirken zu lassen.
