Så använde ”Famous Chollima” AI‑deepfakes för att få techjobb och stjäla 20 miljarder kronor

AI-drivet anställningsbedrägeri

Famous Chollimas främsta metod är både sofistikerad och oroväckande enkel: att få ett jobb. Gruppen har varit aktiv sedan minst 2018 och specialiserar sig på att genom bedrägeri få frilans- eller heltidsjobb, oftast som utvecklare på distans .

Vad som förändrats på senare tid är industrialiseringen av anställningsbedrägeriet. CrowdStrikes "2025 Threat Hunting Report" beskriver en "tydlig bild av en aktör som djupt väver samman AI-drivna verktyg vilka automatiserar och effektiviserar varje steg i anställningsprocessen" .

Bland taktikerna som dokumenterats i CrowdStrikes rapporter märks:

• AI-genererade deepfake-videor och röstmanipulation vid distansintervjuer. Operatörer använder publika AI-verktyg, däribland Open AI:s ChatGPT och Googles Gemini, för att i realtid ändra röst och video under videointervjuer samt för att formulera övertygande svar på tekniska frågor .
• Helt fabricerade yrkesidentiteter. Aktörerna skapar polerade LinkedIn-profiler med AI-genererade profilbilder och trovärdiga meritförteckningar som klarar bakgrundskontroller .
• Verkliga, stulna identitetshandlingar. Operatörer använder stulna amerikanska personnummer och andra id-dokument för att fördjupa intrycket av legitimitet hos rutinerna för bakgrundskontroll .

CrowdStrikes hotspaningsteam OverWatch utredde under en tolvmånadersperiod fler än 320 olika fall där Famous Chollima-operatörer skaffat bedrägliga anställningar – en nästan ofattbar ökning med 220 procent jämfört med året innan . Antalet framgångsrika infiltrationsförsök ökade också med 220 procent, och Adam Meyers, chef för CrowdStrikes motståndarverksamhet, påpekade att hans team numera hanterar ungefär ett sådant fall om dagen .

Vad de är ute efter

Motivet är en dubbel intäktskanal för den sanktionstyngda regimen.

Det första spåret är ren löne stöld. Famous Chollimas operatörer lyfter lön från företagen de infiltrerar och slussar medlen till Nordkorea. Det andra – och mer skadliga för offren – är stöld av immateriella tillgångar. När aktörerna väl är inne i nätverken med legitima inloggningsuppgifter stjäls patenterad källkod, affärshemligheter och annan känslig information .

Parallellt med IT-arbetarschemat driver det bredare nordkoreanska cyberekosystemet en massiv stöldvåg riktad mot kryptovaluta. I CrowdStrikes "2026 Financial Services Threat Landscape Report" framgår att DPRK-kopplade grupper tillsammans stal digitala tillgångar motsvarande 2,02 miljarder dollar (cirka 20,2 miljarder kronor) under 2025 – en ökning med 51 procent jämfört med året före . Den enskilt största stöten – 1,46 miljarder dollar i kryptovaluta – tillskrivs den relaterade gruppen Pressure Chollima, som distribuerade trojaniserad mjukvara genom en komprometterad leverantörskedja .

Slutdestinationen för pengarna är uttalad. Stulna miljarder "tvättas nästan helt säkert och kommer att användas för att finansiera regimens militära program och kärnvapenprogram", enligt CrowdStrikes finansiella hotrapport för 2026 .

Hotet går längre än lönen: datastöld och utpressning

Även om Famous Chollimas kända metoder betonar infiltration och stöld, rymmer dataexfiltrering en andra potentiell vinstmöjlighet. Inom nordkoreanska cyberoperationer i stort har taktiker för utpressning genom datastöld vuxit sig starkare, där man hotar att läcka stulen information om inte en lösensumma betalas.

CrowdStrikes tidigare globala hotrapport noterade en 76-procentig ökning av offer som namngavs på särskilda läcksajter, i takt med att datastöldsutpressning blev en alltmer använd metod . Företaget bekräftar att DPRK-anknutna aktörer genomför datastöldskampanjer utan att sprida ransomware, genom att utöva påtryckning med hot om att avslöja känslig data .

CrowdStrike har också bekräftat att vid serviceuppdrag kopplade till Famous Chollima konstaterades datastöld i 50 procent av ärendena . Den exfiltrerade informationen skulle kunna användas för utpressning, även om de publika sammanställningarna hittills betonat löne- och kryptostölden mer än gruppens detaljerade tillvägagångssätt för att kräva lösensummor.

Operationens omfattning och sofistikeringsgrad pekar mot ett nytt paradigm för statssponsrade intrång – där hotet förskjuts från perifera attacker till betrodda insiders som blir anställda, får lön och stjäl inifrån.