De digitale infiltratie: Noord-Korea’s ‘Famous Chollima’

De AI-valkuil bij het aannemen

De kern van Famous Chollima’s werkwijze is even geraffineerd als verontrustend simpel: zorg dat je wordt aangenomen. De groep, actief sinds minstens 2018, richt zich voornamelijk op het frauduleus verkrijgen van freelance- of voltijdsbanen, meestal als remote softwareontwikkelaar .

Wat recentelijk is veranderd, is de industrialisering van deze wervingsfraude. CrowdStrike’s 2025 Threat Hunting Report beschrijft een “helder beeld van een tegenstander die GenAI-tools op grote schaal verweeft om workflows in elke fase van het wervings- en dienstverbandproces te automatiseren en optimaliseren” .

De specifieke tactieken die CrowdStrike in haar rapporten beschrijft, zijn onder meer:

• Door AI gegenereerde deepfake-video en -audio voor sollicitatiegesprekken op afstand. Agenten gebruiken gangbare GenAI-tools, zoals OpenAI’s ChatGPT en Google’s Gemini, om hun stem en video in real-time te vervormen tijdens videogesprekken, en om overtuigende antwoorden op technische vragen te genereren .
• Volledig gefabriceerde professionele persona’s. De dreigingsactoren creëren gepolijste LinkedIn-profielen met door AI gegenereerde profielfoto’s, voorzien van geloofwaardige cv’s en een verzonnen arbeidsverleden die door achtergrondchecks heen komen .
• Echte, gestolen identiteitsdocumenten. Agenten gebruiken gestolen Amerikaanse burgerservicenummers (Social Security numbers) en andere identiteitsdocumenten om de illusie van legitimiteit voor antecedentenonderzoeken te versterken .

CrowdStrike’s OverWatch-dreigingsjagers onderzochten meer dan 320 afzonderlijke gevallen waarin Famous Chollima-operatives frauduleus werk verkregen in een periode van twaalf maanden – een duizelingwekkende stijging van 220% ten opzichte van het voorgaande jaar . Het succespercentage van deze vermomde aannames steeg eveneens met 220%. Adam Meyers, hoofd van CrowdStrike’s ‘counter adversary operations’, merkte op dat zijn team nu ongeveer één keer per dag op zo’n incident reageert .

Waar ze op uit zijn

De motivatie is een dubbele inkomstenstroom voor het sanctieregime. De eerste stroom is rechttoe rechtaan salarisdiefstal. Famous Chollima-agenten incasseren salaris van de bedrijven die ze infiltreren en sluizen het geld door naar Noord-Korea. De tweede – en voor de slachtoffers schadelijkere – stroom is de diefstal van intellectueel eigendom. Eenmaal met legitieme inloggegevens in een netwerk, stelen de agenten bedrijfseigen broncode, handelsgeheimen en andere gevoelige informatie .

Parallel aan dit IT-werkersschema draait het bredere Noord-Koreaanse cyberecosysteem een enorme operatie voor cryptovalutadiefstal. CrowdStrike’s 2026 Financial Services Threat Landscape Report laat zien dat aan Noord-Korea verbonden groepen in 2025 samen $2,02 miljard aan digitale tegoeden stalen, een stijging van 51% vergeleken met het jaar ervoor . De grootste afzonderlijke kraak – $1,46 miljard in cryptovaluta – werd toegeschreven aan de gerelateerde groep PRESSURE CHOLLIMA, die getrojaniseerde software verspreidde via een supply-chain-compromis .

De eindbestemming van deze fondsen is expliciet. De gestolen miljarden worden “vrijwel zeker witgewassen en gebruikt ter financiering van ’s lands militaire en nucleaire wapenprogramma’s”, aldus het 2026 Financial Services Threat Landscape Report .

Verder dan de baan: afpersing met datadiefstal

Hoewel Famous Chollima’s openbare berichtgeving de nadruk legt op infiltratie en diefstal, kent de diefstal van gegevens een tweede, potentieel lucratief doel. Bredere Noord-Koreaanse cyberoperaties maken steeds vaker gebruik van ‘data-theft extortion’: het dreigen gestolen informatie te lekken tenzij er losgeld wordt betaald.

CrowdStrike’s eerdere Global Threat Report signaleerde een stijging van 76% in het aantal slachtoffers dat werd genoemd op speciale leksites, omdat ‘data-theft extortion’ voor veel tegenstanders de geprefereerde manier van geld verdienen werd . Het bedrijf merkt op dat aan Noord-Korea verbonden actoren zijn waargenomen bij het uitvoeren van datadiefstal- en afpersingscampagnes zonder ransomware te gebruiken, waarbij druk wordt uitgeoefend door te dreigen gevoelige data openbaar te maken .

CrowdStrike heeft ook bevestigd dat in serviceopdrachten waarbij Famous Chollima betrokken was, datadiefstal in 50% van de gevallen werd vastgesteld . Die buitgemaakte informatie zou kunnen worden ingezet voor afpersing, al leggen de openbare samenvattingen van de rapporten meer de nadruk op de insider-infiltratie en de pijplijn van salaris- en cryptodiefstal van de groep. De precieze details van Famous Chollima’s afpersingsdraaiboek na detectie zijn mogelijk alleen beschikbaar in de volledige, niet-geredigeerde dreigingsrapporten.

De schaal en verfijning van de operatie vertegenwoordigen een nieuw paradigma in digitale spionage door natiestaten, waarbij de dreiging verschuift van aanvallen op de digitale buitengrens naar vertrouwde insiders die worden aangenomen, betaald krijgen en van binnenuit stelen.