Näin Pohjois-Korean ”Famous Chollima” käytti tekoälyä päästäkseen tech-töihin ja varasti 2 miljardia dollaria

Tekoälyavusteinen palkkaushuijaus

Famous Cholliman ydintaktiikka on sekä hienostunut että huolestuttavan yksinkertainen: hanki työpaikka. Ainakin vuodesta 2018 lähtien toiminut ryhmä on erikoistunut hankkimaan petollisia freelance- tai kokoaikaisia työsuhteita, tyypillisesti etäohjelmistokehittäjinä .

Äskettäin muuttunut asia on palkkauspetoksen teollistaminen. CrowdStriken vuoden 2025 Threat Hunting -raportti kuvaa "selkeää kuvaa vastustajasta, joka syväkytkee GenAI-pohjaisia työkaluja, jotka automatisoivat ja optimoivat työnkulkuja palkkaus- ja työllistymisprosessin jokaisessa vaiheessa" .

CrowdStriken raporteissa dokumentoituja erityistaktiikoita ovat muun muassa:

• Tekoälyllä luodut syväväärennösvideot ja -ääni etähaastatteluihin. Aktivistit käyttävät kuluttajille suunnattuja GenAI-työkaluja, mukaan lukien OpenAI:n ChatGPT:tä ja Googlen Geminiä, muokatakseen ääntään ja videokuvaansa reaaliajassa videohaastattelujen aikana ja tuottaakseen vakuuttavia vastauksia teknisiin kysymyksiin .
• Täysin tekaistuja ammatillisia henkilöllisyyksiä. Uhkatoimijat luovat hiottuja LinkedIn-profiileja tekoälyn luomin profiilikuvin, joihin kuuluu uskottavat työhistoriat ja väärennetyt ansioluettelot, jotka läpäisevät taustatarkistukset .
• Oikeita varastettuja henkilöllisyystodistuksia. Aktivistit käyttävät hyväkseen varastettuja yhdysvaltalaisia sosiaaliturvatunnuksia ja muita henkilöllisyysdokumentteja syventääkseen laillisuuden illuusiota taustaseulontajärjestelmissä .

CrowdStriken OverWatch-uhkanmetsästystiimi tutki yli 320 erillistä tapausta, joissa Famous Cholliman agentit hankkivat petollisia työpaikkoja 12 kuukauden aikana – hämmästyttävä 220 prosentin kasvu edellisvuoteen verrattuna . Näiden valepukujen onnistumisprosentti kasvoi myös 220 prosenttia, ja CrowdStriken vastatoimista vastaava johtaja Adam Meyers totesi tiiminsä vastaavan nyt suunnilleen yhteen tällaiseen tapaukseen päivässä .

Kaksoistulovirta hallinnolle

Motivaationa on kaksijakoinen tulovirta kansainvälisten pakotteiden alaiselle Pohjois-Korean hallinnolle.

Ensimmäinen virta on suoraviivaista palkkavarkautta. Famous Cholliman agentit keräävät palkkasekkejä soluttamiltaan yrityksiltä ja ohjaavat ansiot Pohjois-Koreaan. Toinen – ja uhreille vahingollisempi – on immateriaalioikeuksien varastaminen. Kun agentit ovat verkossa laillisin tunnuksin, he varastavat patentoitua lähdekoodia, liikesalaisuuksia ja muuta arkaluonteista immateriaalioikeutta .

Rinnakkain IT-työntekijäjärjestelmän kanssa laajempi pohjoiskorealainen kyberekosysteemi pyörittää massiivista kryptovaluuttavarkausoperaatiota. CrowdStriken vuoden 2026 Financial Services Threat Landscape -raportti paljasti, että DPRK-kytköksiset ryhmät varastivat yhteensä 2,02 miljardia dollaria digitaalisia omaisuuseriä vuonna 2025, mikä on 51 prosentin kasvu edellisvuoteen verrattuna . Kaikkien aikojen suurin yksittäinen ryöstö – 1,46 miljardia dollaria kryptovaluutassa – pantiin siihen liittyvän PRESSURE CHOLLIMA -ryhmän syyksi, joka levitti troijalaista ohjelmistoa toimitusketju-uhan kautta .

Varojen lopullinen määränpää on avoin. Varastetut miljardit "pestään lähes varmasti rahanpesun kautta ja käytetään hallinnon sotilaallisten ja ydinaseohjelmien rahoittamiseen", todetaan vuoden 2026 Financial Services Threat Landscape -raportissa .

Palkkauksen yli: tietovarkauden kiristys

Samalla kun Famous Cholliman julkinen raportointi painottaa soluttautumista ja varkautta, tietojen ulossiirtämisellä on toinenkin mahdollinen hyöty. Laajemmat Pohjois-Korean kyberoperaatiot ovat omaksuneet tietovarkauskiristyksen taktiikoita – uhkaamalla vuotaa varastetut tiedot, ellei lunnaita makseta.

CrowdStriken aiemmassa Global Threat -raportissa seurattiin 76 prosentin kasvua uhreista, jotka nimettiin erityisillä vuotosivustoilla, kun tietovarkauskiristyksestä tuli suosittu rahastusreitti monille vastustajille . Yhtiö toteaa, että DPRK-kytköksisten toimijoiden on havaittu suorittavan tietovarkaus- ja kiristyskampanjoita ilman kiristysohjelmia, painostaen uhreja uhkaamalla arkaluonteisten tietojen paljastamisella .

CrowdStrike on myös vahvistanut, että Famous Chollimaan liittyvissä palvelutoimeksiannoissa tietojen varastaminen vahvistettiin 50 prosentissa tapauksista . Nuo ulossiirretyt tiedot voitaisiin valjastaa kiristykseen, vaikka julkiset raporttien tiivistelmät keskittyvätkin enemmän ryhmän sisäpiiriläissoluttautumiseen ja palkka-kryptovaluuttavarastoputkeen. Famous Cholliman havaitsemisen jälkeisen kiristysliikekirjan tarkat yksityiskohdat saattavat olla saatavilla vain täysissä, sensuroimattomissa uhkaraporteissa, eivät tähän mennessä julkistetuissa tiivistelmissä.

Operaation laajuus ja hienostuneisuus edustavat uutta paradigmaa valtiollisessa kybertunkeutumisessa, siirtäen uhan verkon reunamien hyökkäyksistä luotettuihin sisäpiiriläisiin, jotka palkataan, saavat palkan ja varastavat sisältä käsin.