Jak Korea Północna infiltruje Dolinę Krzemową: 47% ataków i 2 miliardy dolarów łupu

Oszustwo rekrutacyjne napędzane przez AI

Podstawowa metoda działania Famous Chollima jest zarówno wyrafinowana, jak i niepokojąco prosta: zdobyć pracę. Aktywna co najmniej od 2018 roku grupa specjalizuje się w wyłudzaniu fikcyjnego zatrudnienia na stanowiskach freelancerskich lub w pełnym wymiarze godzin, zazwyczaj jako zdalni programiści .

To, co zmieniło się ostatnio, to uprzemysłowienie oszustwa rekrutacyjnego. Raport CrowdStrike 2025 Threat Hunting Report opisuje „wyraźny obraz przeciwnika głęboko splatającego narzędzia oparte na generatywnej AI, które automatyzują i optymalizują przepływ pracy na każdym etapie procesu rekrutacji i zatrudnienia” .

Konkretne taktyki udokumentowane w raportach CrowdStrike obejmują:

• Generowane przez AI deepfake’i wideo i audio podczas zdalnych rozmów kwalifikacyjnych. Agenci używają konsumenckich narzędzi GenAI, w tym ChatGPT od OpenAI i Gemini od Google, aby zmieniać swój głos i obraz w czasie rzeczywistym podczas wideorozmów oraz generować przekonujące odpowiedzi na pytania techniczne .
• Całkowicie sfabrykowane profesjonalne persony. Aktorzy tworzą dopracowane profile na LinkedIn ze zdjęciami wygenerowanymi przez AI, wraz z wiarygodną historią zatrudnienia i fałszywymi CV, które przechodzą kontrolę przeszłości .
• Prawdziwe skradzione dokumenty tożsamości. Agenci wykorzystują skradzione amerykańskie numery ubezpieczenia społecznego (Social Security numbers) i inne dokumenty, aby pogłębić iluzję legalności dla systemów weryfikacji przeszłości .

Zespół CrowdStrike OverWatch, zajmujący się polowaniem na zagrożenia, zbadał ponad 320 odrębnych przypadków, w których agenci Famous Chollima uzyskali fałszywe zatrudnienie w okresie 12 miesięcy – oszałamiający wzrost o 220% w porównaniu z poprzednim rokiem . Wskaźnik sukcesu tych „ukrytych zatrudnień” również wzrósł o 220%, a szef działu operacji przeciwdziałania przeciwnikom w CrowdStrike, Adam Meyers, zauważył, że jego zespół reaguje obecnie na mniej więcej jeden taki incydent dziennie .

Jakie są ich cele?

Motywacją jest podwójny strumień dochodów dla objętego sankcjami reżimu.

Pierwszy strumień to zwykła kradzież wynagrodzeń. Agenci Famous Chollima pobierają pensje od firm, do których się infiltrują, przekazując zarobki do Korei Północnej. Drugi – i bardziej szkodliwy dla ofiar – to kradzież własności intelektualnej. Po wejściu do sieci z legalnymi danymi uwierzytelniającymi, agenci kradną zastrzeżony kod źródłowy, tajemnice handlowe i inną wrażliwą własność intelektualną .

Równolegle do schematu z pracownikami IT, szerszy północnokoreański ekosystem cybernetyczny prowadzi masową operację kradzieży kryptowalut. Raport CrowdStrike 2026 Financial Services Threat Landscape Report wykazał, że grupy powiązane z KRLD (Koreańską Republiką Ludowo-Demokratyczną) ukradły łącznie 2,02 miliarda dolarów w aktywach cyfrowych w ciągu 2025 roku, co stanowi wzrost o 51% w porównaniu z rokiem poprzednim . Największy pojedynczy skok – kradzież kryptowaluty o wartości 1,46 miliarda dolarów – przypisano powiązanej grupie PRESSURE CHOLLIMA, która wykorzystała oprogramowanie z trojanem rozprowadzane poprzez kompromitację łańcucha dostaw .

Ostateczne przeznaczenie tych funduszy jest jawne. Skradzione miliardy są „prawie na pewno prane i zostaną wykorzystane do finansowania programów wojskowych i broni jądrowej reżimu”, stwierdza raport .

Poza zatrudnieniem: szantaż poprzez kradzież danych

Podczas gdy publiczne raporty na temat Famous Chollima podkreślają infiltrację i kradzież, eksfiltracja danych niesie ze sobą drugą potencjalną korzyść. Szersze północnokoreańskie operacje cybernetyczne przyjęły taktykę wymuszeń poprzez kradzież danych – grożenie wyciekiem skradzionych informacji, chyba że zostanie zapłacony okup.

Wcześniejszy Global Threat Report CrowdStrike odnotował 76-procentowy wzrost liczby ofiar wymienianych na dedykowanych stronach wycieków, ponieważ wymuszenia poprzez kradzież danych stały się preferowaną ścieżką monetyzacji dla wielu przeciwników . Firma zauważa, że podmioty powiązane z KRLD były obserwowane podczas prowadzenia kampanii kradzieży danych i wymuszeń bez wdrażania oprogramowania ransomware, wywierając presję poprzez groźbę ujawnienia wrażliwych danych .

CrowdStrike potwierdziło również, że w przypadkach serwisowych z udziałem Famous Chollima, kradzież danych została potwierdzona w 50% spraw . Te wykradzione informacje mogłyby zostać wykorzystane do wymuszenia, choć publiczne podsumowania raportów skupiają się bardziej bezpośrednio na wewnętrznej infiltracji grupy oraz procederze kradzieży wynagrodzeń i kryptowalut. Dokładne szczegóły schematu żądania okupu przez Famous Chollima po wykryciu mogą być dostępne tylko w pełnych, nieocenzurowanych raportach o zagrożeniach.

Skala i wyrafinowanie tej operacji reprezentują nowy paradygmat w cyberintruzji państw narodowych, przesuwając zagrożenie z ataków na obrzeża sieci na zaufanych insiderów, którzy są zatrudniani, opłacani i okradają firmę od środka.