Mannen i andra änden, en FBI-agent, berättade för Devin att den till synes legitima mjukvaruutvecklaren han hade anställt föregående sommar var en nordkoreansk agent som hade skickat tiotusentals dollar av sin lön till landets auktoritära regim.
Förbluffad lade Devin på luren och avbröt omedelbart den anställde från företagets konton, sa han.
"Han var en bra bidragsgivare," beklagade Devin, förbryllad över mannen som hade påstått sig vara kines och klarat flera intervjuronder för att bli anställd. (CNN använder en pseudonym för Devin för att skydda sitt företags identitet).
Nordkoreanska regeringsstödda hackare har stulna motsvarande miljarder dollar under de senaste åren genom att raida kryptovalutabörser, enligt FN. I vissa fall har de lyckats fånga hundratals miljoner dollar i ett enda rån, FBI och säger privata utredare.
Nu varnar amerikanska federala utredare offentligt för en nyckelpelare i den nordkoreanska strategin, där regimen placerar operatörer i tekniska jobb i hela informationsteknologibranschen.
FBI, finansdepartementet och staten utfärdade ett sällsynt offentligt råd i maj om tusentals "mycket kvalificerad" IT-personal som förser Pyongyang med "en kritisk inkomstström" som hjälper regimens "högsta ekonomiska och säkerhetsprioriteringar".
Det är ett utarbetat system för att tjäna pengar som förlitar sig på frontföretag, entreprenörer och bedrägeri för att förgripa sig på en flyktig industri som alltid är på jakt efter topptalanger. Nordkoreanska teknikarbetare kan tjäna mer än $300 000 årligen – hundratals gånger den genomsnittliga inkomsten för en nordkoreansk medborgare – och upp till 90% av deras lön går till regimen, enligt USA:s råd.
"(Nordkoreanerna) tar detta på största allvar", säger Soo Kim, en före detta nordkoreaanalytiker vid CIA. "Det är inte bara en slump i hans källare som försöker bryta kryptovaluta," tillade hon och syftade på processen att generera digitala pengar. "Det är ett sätt att leva."
Värdet på kryptovaluta har rasat under de senaste månaderna, utarmar det nordkoreanska bytet med många miljoner dollar. Enligt Chainalysis, ett företag som spårar digital valuta, har värdet på nordkoreanska innehav som sitter i kryptovaluta "plånböcker" eller konton, som inte har betalats ut, sjunkit med mer än hälften sedan slutet av förra året, från $170 miljoner till cirka $65 miljoner.
Men analytiker säger att kryptovalutaindustrin är ett alltför värdefullt mål för nordkoreanska operatörer att vända sig ifrån på grund av branschens relativt svaga cyberförsvar och den roll som kryptovaluta kan spela för att undvika sanktioner.
Amerikanska tjänstemän har under de senaste månaderna hållit en serie privata genomgångar med utländska regeringar som Japan, och med teknikföretag i USA och utomlands, för att slå larm om hotet från nordkoreansk IT-personal, en tjänsteman från finansdepartementet som specialiserat sig på nordkoreansk personal. Korea berättade för CNN.
Listan över företag som riktas mot nordkoreaner täcker nästan alla aspekter av frilanstekniksektorn, inklusive betalningsprocessorer och rekryteringsföretag, sa tjänstemannen.
Pyongyang har satsat på sina utländska teknikarbetare för intäkter i flera år. Men coronavirus-pandemin — och tillfällig låsning det har orsakat i Nordkorea - har, om något, gjort den tekniska diasporan till en mer avgörande finansieringskälla för regimen, sa finansministern till CNN.
"Treasury kommer att fortsätta att rikta in sig på Nordkoreas inkomstgenererande ansträngningar, inklusive dess illegala IT-arbetarprogram och relaterade elakartade cyberaktiviteter," sade Brian Nelsonc, finansminister undersekreterare för terrorism och finansiell underrättelsetjänst, i ett uttalande till CNN, med förkortningen för Nordkorea.
"Företag som engagerar sig med eller bearbetar transaktioner för [nordkoreanska tekniska] arbetare riskerar exponering för USA:s och FN:s sanktioner," tillade Nelson, som träffades förra månaden med sydkoreanska regeringstjänstemän för att diskutera sätt att motverka nordens penningtvätt och cyberbrottslighet.
CNN har mailat och ringt Nordkoreas ambassad i London för att få kommentarer.
Federala utredare är också på jakt efter amerikaner som kan vara benägna att låna ut sin expertis inom digitala valutor till Nordkorea.
I april dömdes en 39-årig amerikansk dataprogrammerare vid namn Virgil Griffith till mer än fem års fängelse i USA för att ha brutit mot USA:s sanktioner mot Nordkorea efter att ha talat vid en blockchain-konferens där 2019 om hur man undviker sanktioner. Griffith erkände sig skyldig och uttryckte i ett uttalande som lämnats till domaren före domen "djup ånger" och "skam" för sina handlingar, vilket han tillskrev en besatthet att se Nordkorea "innan det föll."
Men den långsiktiga utmaningen som amerikanska tjänstemän står inför är mycket mer subtil än iögonfallande blockchain-konferenser i Pyongyang. Det handlar om att försöka begränsa de diffusa finansieringskällor som den nordkoreanska regeringen får från sin tekniska diaspora.
Dubbeleggat svärd
Den nordkoreanska regeringen har länge gynnats av att utomstående underskattar regimens förmåga att klara sig själv, frodas på den svarta marknaden och utnyttja den informationsteknologi som ligger till grund för den globala ekonomin.
Regimen har byggt upp en formidabel kader av hackare genom att peka ut lovande matematik- och naturvetenskapsstudenter i skolan, sätta in Nordkorea samma konversation som Iran, Kina och Ryssland när amerikanska underrättelsetjänstemän diskuterar cybermakter.
På det här fotot från den nordkoreanska regeringen deltar Nordkoreas ledare Kim Jong Un i en fotosession med officerare och soldater, den 27 april 2022.
Ett av de mest ökända nordkoreanska hackningarna inträffade 2014 med att Sony Pictures Entertainments datorsystem förlamades som vedergällning för "The Interview", en film som involverade en fiktiv intrig för att döda Kim Jong Un. Två år senare stal nordkoreanska hackare cirka $81 miljoner från Bank of Bangladesh genom att utnyttja SWIFT-systemet för att överföra bankmedel.
Nordkoreas hackingteam har under åren sedan tränat sina sikte på marknaden för boom-and-bust kryptovaluta.
Avkastningen har ibland varit astronomisk.
Pyongyang-länkade hackare i mars stal vad som då motsvarade $600 miljoner i kryptovaluta från ett Vietnambaserat videospelföretag, enligt FBI. Och nordkoreanska hackare låg sannolikt bakom ett $100 miljoner rån på ett Kalifornien-baserat kryptovalutaföretag, enligt blockchain-analysföretaget Elliptic.
"De flesta av dessa kryptoföretag och -tjänster är fortfarande långt borta från den säkerhetsställning som vi ser hos traditionella banker och andra finansinstitutioner", säger Fred Plan, huvudanalytiker på cybersäkerhetsföretaget Mandiant, som undersökte misstänkta nordkoreanska teknikarbetare och delade några av dess resultat med CNN.
De tusentals nordkoreanska teknikarbetarna utomlands ger Pyongyang ett tveeggat svärd: De kan tjäna löner som går utanför FN:s och USA:s sanktioner och gå direkt till regimen samtidigt som de ibland erbjuder Nordkorea-baserade hackare fotfäste i kryptovaluta eller andra teknikföretag. IT-arbetarna tillhandahåller ibland "logistiskt" stöd till hackarna och överför kryptovaluta, sade den senaste amerikanska regeringens råd.
– Gemenskapen av skickliga programmerare i Nordkorea med tillstånd att kontakta västerlänningar är säkert ganska liten, säger Nick Carlsen, som fram till förra året var en FBI-underrättelseanalytiker med fokus på Nordkorea, till CNN.
"De här killarna känner varandra. Även om en viss IT-arbetare inte är en hackare, känner han absolut till en, säger Carlsen, som nu arbetar på TRM Labs, ett företag som utreder ekonomiska bedrägerier. "Varje sårbarhet de kan identifiera i en klients system skulle vara i stor risk."
Och både teknikarbetare och hackare från Nordkorea har använt den relativt öppna dörrkaraktären i jobbsökningsprocessen – där vem som helst kan låtsas vara vem som helst på plattformar som LinkedIn – till sin fördel. I slutet av 2019, till exempel, poserade möjliga nordkoreanska hackare som jobbrekryterare på LinkedIn för att rikta in sig på känslig information som innehas av anställda på två europeiska flyg- och försvarsföretag, enligt forskare på cybersäkerhetsföretaget ESET.
"Vi letar aktivt efter tecken på statligt sponsrad aktivitet på plattformen och vidtar snabbt åtgärder mot dåliga aktörer för att skydda våra medlemmar", sa LinkedIn i ett uttalande till CNN. "Vi väntar inte på förfrågningar, vårt team för hotintelligens tar bort falska konton med hjälp av information vi avslöjar och underrättelser från en mängd olika källor, inklusive statliga myndigheter."
Att lära sig att upptäcka röda flaggor
Vissa i kryptovalutabranschen blir mer försiktiga när de vill anställa nya talanger. I Jonathan Wus fall kan ett videosamtal med en jobbkandidat i april ha hindrat honom från att omedvetet anställa någon som han kom att misstänka var en nordkoreansk teknikarbetare.
Som chef för tillväxtmarknadsföring på Aztec, ett företag som erbjuder integritetsfunktioner för Ethereum, en populär typ av kryptovalutateknologi, letade Wu efter en ny mjukvaruingenjör när anställningsteamet kom över ett lovande CV som någon hade skickat in.
Sökanden hävdade erfarenhet av icke-fungibla tokens (NFT) och andra segment av kryptovalutamarknaden.
"Det såg ut som någon vi skulle kunna anställa som ingenjör," sa Wu, som är baserad i New York, till CNN.
Men Wu såg ett antal röda flaggor hos sökanden, som gav sitt namn som "Bobby Sierra." Han talade på stopp engelska under intervjun, höll sin webbkamera avstängd och kunde knappt hålla sin bakgrund rakt eftersom han praktiskt taget krävde ett jobb på Aztec, enligt Wu.
Det slutade inte med att Wu anställde "Sierra", som på sitt CV hävdade att han skulle bo i Kanada.
"Det lät som om han var i ett callcenter," sa Wu. "Det lät som att det var fyra eller fem killar på kontoret, som också pratade högt, också till synes på intervjuer eller telefonsamtal och pratade en blandning av koreanska och engelska."
"Sierra" svarade inte på meddelanden som skickades till hans uppenbara e-post och Telegram-konton för att få kommentarer.
CNN fick de meritförteckningar som de påstådda nordkoreanska teknikarbetarna lämnade in till Wus företag och startupen för kryptovaluta som grundades av Devin. Meritförteckningarna verkar medvetet generiska för att inte väcka misstankar och använde modeord som är populära inom kryptovalutaindustrin som "skalbarhet" och "blockchain".
En misstänkt nordkoreansk operatör som spårades av Mandiant, cybersäkerhetsföretaget, ställde många frågor till andra i kryptovalutagemenskapen om hur Ethereum fungerar och interagerar med annan teknologi, sa Mandiant.
Nordkoreanen kan ha samlat information om tekniken som kan vara användbar för att hacka den senare, enligt Mandiants huvudanalytiker Michael Barnhart.
"De här killarna vet exakt vad de vill ha från Ethereum-utvecklarna," sa Barnhart. "De vet precis vad de letar efter."
De falska meritförteckningarna och andra knep som används av nordkoreanerna kommer sannolikt bara att bli mer trovärdiga, sa Kim, den tidigare CIA-analytikern som nu är policyanalytiker på RAND Corp., en tankesmedja.
"Även om hantverket inte är perfekt just nu, när det gäller deras sätt att närma sig utlänningar och gripa deras sårbarheter, är det fortfarande en ny marknad för Nordkorea," sa Kim till CNN. "I ljuset av de utmaningar som regimen står inför - livsmedelsbrist, färre länder som är villiga att engagera sig med Nordkorea ... detta kommer bara att vara något som de kommer att fortsätta använda eftersom ingen håller dem tillbaka, i huvudsak."
Swedish 
English 
Chinese (China) 
Chinese (Hong Kong) 
Korean 
Japanese 
German 
French 
Spanish 
Vietnamese 
Arabic 
Hindi