Секретный «Чхоллима»: как шпионы КНДР устраиваются к вам на работу через дипфейки и крадут миллиарды

Афера с наймом на базе ИИ

Почерк Famous Chollima одновременно изощрён и пугающе прост: устроиться на работу. Действуя как минимум с 2018 года, группа специализируется на мошенническом получении контрактов фрилансеров или позиций полной занятости, обычно в качестве удалённых разработчиков программного обеспечения .

Главное изменение последнего времени — это индустриализация подлога при найме. Отчёт CrowdStrike Threat Hunting Report за 2025 год описывает «чёткую картину действий противника, глубоко внедряющего инструменты на основе генеративного ИИ, которые автоматизируют и оптимизируют процессы на каждом этапе трудоустройства и работы» .

Документально подтверждённые тактики из отчётов CrowdStrike включают:

• Сгенерированные ИИ дипфейки для видео- и аудиособеседований. Агенты используют общедоступные инструменты, включая ChatGPT от OpenAI и Gemini от Google, чтобы в реальном времени менять голос и видео во время собеседований, а также генерировать убедительные ответы на технические вопросы .
• Полностью вымышленные профессиональные личности. Злоумышленники создают качественные LinkedIn-профили с ИИ-фотографиями, правдоподобной историей работы и поддельными резюме, которые проходят стандартные проверки служб безопасности .
• Настоящие краденые документы. Агенты используют похищенные номера социального страхования США и другие удостоверения личности, чтобы усыпить бдительность систем проверки биографии .

Команда CrowdStrike OverWatch за 12 месяцев расследовала более 320 уникальных случаев мошеннического трудоустройства агентов Famous Chollima — пугающий рост на 220% по сравнению с предыдущим годом . Столь же резко, на 220%, выросла и успешность этих «замаскированных наймов». Глава отдела противодействия противнику в CrowdStrike Адам Мейерс отметил, что сейчас его команда реагирует примерно на один такой инцидент каждый день .

На что они охотятся

Мотивация двойная: это два финансовых потока для режима, находящегося под санкциями.

Первый — прямое похищение зарплат. Агенты Famous Chollima получают чеки от компаний, в которые проникли, и направляют деньги в Северную Корею. Второй, более болезненный для жертв, — кража интеллектуальной собственности. Получив легитимный доступ к сети, агенты воруют проприетарный исходный код, коммерческие секреты и другие чувствительные данные .

Параллельно с этой схемой вся северокорейская киберэкосистема ведёт массивную операцию по хищению криптовалюты. В отчёте CrowdStrike за 2026 год о ландшафте угроз для финансового сектора указано, что связанные с КНДР группы в 2025 году в совокупности похитили цифровых активов на сумму $2,02 млрд, что на 51% больше, чем годом ранее . Крупнейшее одиночное ограбление — кража $1,46 млрд в криптовалюте — приписывается родственной группе PRESSURE CHOLLIMA, которая распространила троянизированное ПО через компрометацию цепочки поставок .

Конечная цель этих средств не скрывается: украденные миллиарды «почти наверняка отмываются и будут использованы для финансирования военной и ядерной программ режима», говорится в отчёте .

Это не просто кража — это шантаж

Хотя в публичных сводках о Famous Chollima упор делается на внедрение и воровство, кража данных имеет и второе, потенциальное применение. Более широкие кибероперации КНДР взяли на вооружение тактику вымогательства на основе похищенных данных — угрозу слить украденную информацию, если не будет заплачен выкуп.

Более ранний Глобальный отчёт об угрозах CrowdStrike зафиксировал рост на 76% числа жертв, названных на специальных сайтах для слива данных, по мере того как вымогательство данных становилось предпочтительным способом монетизации для многих злоумышленников . Компания отмечает, что были замечены группы, связанные с КНДР, которые проводили кампании по краже данных и шантажу без применения программ-вымогателей, оказывая давление угрозой разглашения конфиденциальной информации .

CrowdStrike также подтвердила, что в случаях с Famous Chollima, где проводились служебные расследования, факт кражи данных был подтверждён в 50% инцидентов . Эта похищенная информация в дальнейшем может быть использована для шантажа. Масштаб и изощрённость операции знаменуют новую парадигму кибервторжений на государственном уровне: угроза сместилась от атак на периметр к доверенным инсайдерам, которых нанимают, которым платят и которые воруют изнутри.