Мрежа от севернокорейски специалисти в IT сферата все по-активно използва изкуствен интелект, за да се представя за дистанционни служители, да получава работа и да генерира приходи от едни от най-големите компании в Европа. За това предупреждават киберексперти, цитирани от Financial Times.

Според тях феноменът с т.нар. „фалшиви служители“ е почти изцяло свързан с режима на Ким Чен-ун, който през последните години е изградил глобална инфраструктура за измами с цел набавяне на чуждестранен капитал.

Стотици компании вече са били засегнати

Данни на Министерството на правосъдието на САЩ показват, че между 2020 и 2024 г. севернокорейски оперативни служители са успели да се внедрят в над 300 американски компании, генерирайки поне 6,8 млн. долара за Пхенян.

Сега експертите виждат ясни признаци, че тази схема се разпространява и в Европа. Джейми Колиър, водещ съветник за региона в Google Threat Intelligence Group, посочва, че агенти вече създават т.нар. „ферми за лаптопи“ на територията на Великобритания.

„Процесът по подбор на персонал традиционно не се възприема като въпрос на киберсигурност. Това го превръща в слабо място, което тези оперативни служители активно експлоатират“, казва той пред Financial Times.

По негови думи в един случай клиент на компанията се е усъмнил, когато е бил информиран, че един от най-добре представящите се служители всъщност е фалшив агент от Северна Корея.

Дезертьор разкрива измамата с дистанционна работа, която помага на Северна Корея да захранва ядрената си програма

Как хакери на Ким Чен Ун се внедряват в западни IT компании – и финансират режима

Как работи тази схема?

Измамата обикновено започва с кражба на самоличност – например чрез превземане на неактивни профили в платформата LinkedIn или дори чрез заплащане на реални хора за достъп до акаунтите им. След това се създават фалшиви автобиографии, а други съучастници предоставят препоръки в професионалните мрежи.

По време на интервютата, които се провеждат дистанционно, кандидатите използват генерирани с AI дигитални маски, аватари и deepfake видео филтри, за да изглеждат убедително.

Алекс Лори, главен технологичен директор в компанията за киберсигурност Ping Identity, отбелязва, че големите езикови модели значително са повишили достоверността на подобни измами.

„С тях оперативните служители могат да генерират културно адекватни имена и имейл формати, така че комуникацията им да не предизвиква езикови или културни съмнения“, обяснява той.

Според него бъдещата национална сигурност на страни като Великобритания ще зависи от способността на корпоративния сектор да удостоверява самоличността на служителите си в условията на постоянни AI-подсилени заплахи.

Севернокорейски специалисти се представят за архитекти и инженери, за да печелят от фалшиви онлайн поръчки – нова форма на дигитална измама, която захранва режима в Пхенян

От хакери до архитекти: Как Северна Корея печели милиони чрез фалшиви фрийланс проекти

Нови практики и „работа на няколко места“

След като много компании затегнаха процедурите за онлайн подбор на кадри заради опасения, че кандидатите използват AI за отговори по време на интервюта, севернокорейските мрежи започват да наемат реални хора – т.нар. „фасилитатори“ – които да се явяват на интервюта вместо тях.

На следващ етап измамниците често прехващат служебните лаптопи, изпратени от работодателите, влизат дистанционно в системите и използват чатботове и автоматизирани команди, за да изпълняват задачите си. В някои случаи те работят едновременно на няколко позиции.

Рейф Пилинг, директор „Разузнаване на заплахи“ в Sophos, определя схемата като „държавно подкрепено предприятие“.

„Мини армия от севернокорейци се насочва към високоплатени, изцяло дистанционни технологични позиции. Представят се като специалисти със 7–10 години опит, получават работа, взимат заплата – и цикълът се повтаря“, казва той.

Общо $2,17 млрд. в криптовалута са откраднати само за първото полугодие на 2025 г., показва доклад на Chainalysis. Над две трети от атаките се свързват със севернокорейски групи, използващи крипто активи за заобикаляне на санкции

Северна Корея стои зад рекордна крипто кражба за $1,4 млрд. – хакерските атаки удрят нов връх през 2025 г.

Големи компании вече блокират опити за проникване

През януари в публикация в LinkedIn шефът по сигурността на Amazon Стивън Шмидт съобщи, че от април 2024 г. компанията е предотвратила над 1800 опита на предполагаеми севернокорейски оперативни служители да се наемат на работа.

По думите му все по-често цел на подобни кандидати са позиции в областта на AI и машинното обучение – тенденция, която вероятно се наблюдава в целия технологичен сектор.

Компанията за киберсигурност KnowBe4 е сред първите в САЩ, които публично признават, че са станали жертва на подобна схема. В конкретния случай фалшивият служител се е опитал да инсталира зловреден софтуер, за да получи достъп до вътрешните системи, преди да бъде разкрит.

Нов риск за корпоративната сигурност

Случаите подчертават нова реалност за бизнеса: дистанционната работа и напредъкът на AI създават не само възможности, но и нови уязвимости.

За компаниите това означава, че проверката на самоличността и автентичността на служителите вече не е просто HR процес, а ключов елемент от стратегията за киберсигурност.