Jak severokorejští hackeři pomocí AI deepfakes pronikli do stovek amerických firem a ukradli biliony

Náborový podvod poháněný umělou inteligencí

Základní princip fungování skupiny Famous Chollima je sofistikovaný a zároveň znepokojivě prostý: sehnat si práci. Skupina, aktivní nejméně od roku 2018, se specializuje na získávání podvodného zaměstnání na volné noze nebo na plný úvazek, typicky na pozice vývojářů pracujících na dálku .

Novinkou je však zprůmyslnění tohoto podvodu. Zpráva CrowdStrike 2025 Threat Hunting Report popisuje „jasný obraz protivníka, který do své činnosti hluboce zapojuje nástroje poháněné generativní AI, jež automatizují a optimalizují pracovní postupy v každé fázi náboru a zaměstnání“ .

Mezi konkrétní taktiky, které zprávy CrowdStrike popisují, patří:

• Deepfake video a zvuk vytvořené AI pro online pohovory. Agenti používají spotřebitelské nástroje generativní AI, včetně ChatGPT od OpenAI a Gemini od Googlu, aby v reálném čase měnili svůj hlas a obraz během videohovorů a vytvářeli přesvědčivé odpovědi na technické dotazy .
• Kompletně vyfabrikované profesní identity. Útočníci vytvářejí propracované profily na LinkedInu s obrázky generovanými AI, včetně uvěřitelné pracovní historie a falešných životopisů, které projdou prověrkami .
• Skutečné ukradené doklady totožnosti. Agenti využívají ukradená americká rodná čísla (Social Security numbers) a další osobní doklady, aby prohloubili iluzi legitimacy pro systémy ověřování minulosti .

Tým CrowdStrike OverWatch vyšetřoval za 12 měsíců přes 320 samostatných případů, kdy agenti skupiny Famous Chollima získali podvodné zaměstnání. To představuje ohromující 220% nárůst oproti předchozímu roku . Úspěšnost těchto maskovaných náborů rovněž vyskočila o 220 %. Šéf oddělení pro boj s protivníky ve společnosti CrowdStrike, Adam Meyers, poznamenal, že jeho tým v současnosti řeší zhruba jeden takový incident denně .

O co jim jde

Motivací je vytvoření dvoukanálového příjmu pro sankcionovaný režim.

První proud představuje obyčejná krádež mezd. Operativci skupiny Famous Chollima vybírají výplaty od firem, do nichž pronikli, a finanční prostředky putují do Severní Koreje. Druhý proud – a pro oběti škodlivější – je krádež duševního vlastnictví. Jakmile je útočník uvnitř sítě s legitimními přihlašovacími údaji, krade proprietární zdrojový kód, obchodní tajemství a další citlivé know-how .

Paralelně s tímto schématem falešných IT pracovníků provozuje širší severokorejský kybernetický ekosystém masivní operace krádeží kryptoměn. Zpráva CrowdStrike 2026 Financial Services Threat Landscape Report uvádí, že skupiny napojené na KLDR během roku 2025 ukradly dohromady 2,02 miliardy dolarů v digitálních aktivech, což je 51% nárůst oproti předchozímu roku . K největší samostatné loupeži – ve výši 1,46 miliardy dolarů v kryptoměnách – se přihlásila příbuzná skupina PRESSURE CHOLLIMA, která využila trojanizovaný software distribuovaný skrze kompromitaci dodavatelského řetězce .

Konečné určení těchto prostředků je explicitní. Ukradené miliardy jsou „téměř jistě legalizovány a budou použity k financování vojenských a jaderných programů režimu,“ uvádí zpráva .

Vydírání pomocí ukradených dat

Ačkoliv veřejná hlášení o skupině Famous Chollima zdůrazňují hlavně infiltraci a krádeže, samotný únik dat (exfiltrace) s sebou nese i druhý potenciální výnos. Širší severokorejské kybernetické operace přijaly taktiku vydírání pomocí krádeže dat – vyhrožují zveřejněním ukradených informací, dokud není zaplaceno výkupné.

Dřívější Globální zpráva o hrozbách od CrowdStrike zaznamenala 76% nárůst počtu obětí jmenovaných na specializovaných stránkách pro úniky dat, jelikož se tento typ vydírání stal pro mnoho protivníků preferovanou cestou monetizace . Společnost uvádí, že aktéři napojení na KLDR byli přistiženi, jak provádějí krádeže dat a vyděračské kampaně bez použití ransomwaru, přičemž na své oběti vyvíjejí tlak hrozbou vystavení citlivých údajů .

CrowdStrike rovněž potvrdil, že v rámci svých servisních zakázek zjistil krádež dat v 50 % případů týkajících se skupiny Famous Chollima . Tyto exfiltrované informace by mohly být využity k vydírání, i když veřejně dostupná shrnutí se soustředí spíše na infiltraci insiderů a kombinaci krádeží platů a kryptoměn.

Rozsah a sofistikovanost celé operace představuje zcela nové paradigma kybernetických průniků řízených státy a posouvá hrozbu od útoků na perimetr sítě k důvěryhodným insiderům, kteří se nechají zaměstnat, dostávají zaplaceno a kradou zevnitř.