Slik brukte Nord-Koreas «Famous Chollima» AI-deepfakes for å kapre tech-jobber og stjele 20 milliarder kroner

Ansettelsessvindelen som drives av kunstig intelligens

Kjernen i Famous Chollimas spill er både sofistikert og urovekkende enkelt: Skaff deg en jobb. Gruppen har vært aktiv siden minst 2018 og spesialiserer seg på å skaffe seg falske frilans- eller fulltidsstillinger, vanligvis som eksterne programvareutviklere .

Det som har endret seg nylig, er industrialiseringen av denne ansettelsessvindelen. CrowdStrikes «2025 Threat Hunting Report» beskriver et «tydelig bilde av en motstander som dypt integrerer GenAI-drevne verktøy som automatiserer og optimaliserer arbeidsflyter i alle stadier av ansettelses- og arbeidsprosessen» .

De spesifikke taktikkene som er dokumentert i CrowdStrikes rapporter inkluderer:

• KI-generert deepfake-video og -lyd til eksterne intervjuer. Operatørene bruker kommersielle GenAI-verktøy, inkludert OpenAIs ChatGPT og Googles Gemini, for å endre stemme og video i sanntid under videointervjuer og for å generere overbevisende svar på tekniske spørsmål .
• Fullstendig oppdiktede profesjonelle personaer. Trusselaktørene lager polerte LinkedIn-profiler med KI-genererte profilbilder, komplette med troverdige jobbhistorikker og falske CV-er som består bakgrunnssjekker .
• Ekte, stjålne identitetsdokumenter. Operatørene utnytter stjålne amerikanske personnumre (Social Security numbers) og andre identitetsdokumenter for å forsterke illusjonen av legitimitet overfor systemer for bakgrunnssjekk .

CrowdStrikes OverWatch-team for trusseljakt etterforsket over 320 separate tilfeller der Famous Chollima-operatører skaffet seg falsk ansettelse i løpet av en 12-måneders periode – en svimlende økning på 220 prosent sammenlignet med året før . Suksessraten for disse forkledde ansettelsene økte også med 220 prosent, og CrowdStrikes leder for «counter adversary operations», Adam Meyers, bemerket at teamet hans nå responderer på omtrent én slik hendelse hver eneste dag .

Hva de er ute etter

Motivasjonen er en dobbel inntektsstrøm for det sanksjonerte regimet.

Den første strømmen er enkelt og greit lønnstyveri. Famous Chollima-operatører mottar lønn fra selskapene de infiltrerer, og sender pengene til Nord-Korea. Den andre – og mer skadelig for ofrene – er tyveri av åndsverk. Når de først er inne i et nettverk med legitime påloggingsdetaljer, stjeler operatørene proprietær kildekode, forretningshemmeligheter og annen sensitiv immateriell eiendom .

Parallelt med IT-arbeider-svindelen driver det større nordkoreanske cyberøkosystemet en massiv operasjon for kryptovalutatyveri. CrowdStrikes «2026 Financial Services Threat Landscape Report» fant at DPRK-tilknyttede grupper stjal til sammen 2,02 milliarder dollar i digitale eiendeler i løpet av 2025, en økning på 51 prosent sammenlignet med året før . Det største enkeltkuppet – kryptovaluta for 1,46 milliarder dollar – ble tilskrevet den relaterte gruppen PRESSURE CHOLLIMA, som distribuerte trojanisert programvare gjennom et angrep på forsyningskjeden (supply-chain compromise) .

Det endelige målet for disse midlene er tydelig. De stjålne milliardene blir «nesten helt sikkert hvitvasket og vil bli brukt til å finansiere regimets militære programmer og atomvåpenprogrammer», heter det i rapporten .

Utover ansettelsen: Utpressing gjennom datatyveri

Mens den offentlige rapporteringen om Famous Chollima legger vekt på infiltrasjon og tyveri, har eksfiltrasjon av data en annen potensiell gevinst. Brede nordkoreanske cyberoperasjoner har tatt i bruk taktikker for utpressing gjennom datatyveri – de truer med å lekke stjålet informasjon med mindre det betales løsepenger.

CrowdStrikes tidligere Global Threat Report registrerte en økning på 76 prosent i antall ofre navngitt på dedikerte lekkesider, ettersom utpressing basert på datatyveri ble en foretrukket metode for inntjening for mange motstandere . Selskapet bemerker at DPRK-tilknyttede aktører er observert i å gjennomføre datatyveri og utpressingskampanjer uten å distribuere løsepengevirus, ved å legge press gjennom trusselen om å avsløre sensitive data .

CrowdStrike har også bekreftet at i oppdrag som involverer Famous Chollima, ble datatyveri bekreftet i 50 prosent av tilfellene . Den eksfiltrerte informasjonen kan potensielt brukes til utpressing, selv om de offentlige rapportsammendragene fokuserer mer direkte på gruppens insiderinfiltrasjon og kombinasjonen av lønns- og kryptotyveri.

Omfanget og raffinementet i denne operasjonen representerer et nytt paradigme innen statsstyrt cyberinntrengning, der trusselen forskyves fra angrep på ytre forsvarsmurer til pålitelige innsidere som blir ansatt, mottar lønn og stjeler fra innsiden.