Операція "Famous Chollima": Як КНДР за допомогою ChatGPT та діпфейків впровадила сотні шпигунів у техсектор США

Афера з наймом на основі ШІ

Основний прийом «Famous Chollima» є водночас витонченим і до тривожного простим: отримати роботу. Активне щонайменше з 2018 року, це угруповання спеціалізується на фальшивому отриманні фрілансерської або еквівалентної повній зайнятості роботи, як правило, віддаленими розробниками програмного забезпечення .

Що змінилося останнім часом, так це індустріалізація шахрайства з наймом. У «Звіті про пошук загроз за 2025 рік» CrowdStrike описує «чітку картину супротивника, який глибоко інтегрує інструменти на основі генеративного ШІ, що автоматизують та оптимізують робочі процеси на кожному етапі процесу найму та працевлаштування» .

Задокументована тактика включає:

• Створені ШІ діпфейк-відео та аудіо для віддалених співбесід. Оперативи використовують загальнодоступні інструменти генеративного ШІ, зокрема ChatGPT від OpenAI та Gemini від Google, щоб змінювати голос і відео в реальному часі під час відеоінтерв'ю, а також генерувати переконливі відповіді на технічні запитання .
• Повністю сфабриковані професійні особистості. Зловмисники створюють бездоганні профілі в LinkedIn із згенерованими ШІ зображеннями, правдоподібними історіями роботи та фейковими резюме, які проходять перевірку біографічних даних .
• Справжні крадені документи, що посвідчують особу. Оперативи використовують викрадені номери соціального страхування США та інші документи для поглиблення ілюзії легітимності для систем перевірки .

Команда CrowdStrike OverWatch розслідувала понад 320 окремих випадків фальшивого працевлаштування агентами «Famous Chollima» за 12 місяців – приголомшливе зростання на 220% порівняно з попереднім роком . Рівень успішності цих замаскованих наймів також зріс на 220%, а керівник відділу боротьби з кіберпротивником CrowdStrike Адам Меєрс зазначив, що тепер його команда реагує приблизно на один такий інцидент щодня .

Яка їхня мета

Мотивацією є подвійне джерело доходу для режиму, що перебуває під санкціями.

Перше – це пряма крадіжка зарплат. Оперативи «Famous Chollima» отримують зарплату від компаній, куди вони проникли, і переказують її до Північної Кореї. Другий, і більш руйнівний для жертв, – це крадіжка інтелектуальної власності. Отримавши доступ до мережі з легітимними обліковими даними, оперативи викрадають власний вихідний код, комерційні таємниці та іншу конфіденційну інтелектуальну власність .

Паралельно зі схемою IT-працівників, ширша північнокорейська кіберекосистема проводить масштабну операцію з викрадення криптовалюти. У «Звіті про ландшафт загроз для фінансових послуг за 2026 рік» CrowdStrike виявила, що пов'язані з КНДР угруповання викрали загалом $2,02 мільярда в цифрових активах протягом 2025 року, що на 51% більше порівняно з попереднім роком . Найбільше окреме пограбування – $1,46 мільярда в криптовалюті – приписується спорідненому угрупованню PRESSURE CHOLLIMA, яке розповсюдило троянізоване програмне забезпечення через компрометацію ланцюга постачання .

Кінцевий пункт призначення цих коштів чітко визначений. Викрадені мільярди «майже напевно відмиваються та будуть використані для фінансування військових і ядерних програм режиму», – йдеться у звіті .

За межами найму: здирництво з викраденими даними

Хоча публічні звіти про «Famous Chollima» акцентують увагу на проникненні та крадіжках, витік даних має другий потенційний зиск. Ширші північнокорейські кібероперації перейняли тактику здирництва через викрадення даних – погрожуючи оприлюднити викрадену інформацію, якщо не буде сплачений викуп.

У більш ранньому Глобальному звіті про загрози CrowdStrike відстежила зростання на 76% кількості жертв, названих на спеціалізованих сайтах для зливу даних, оскільки здирництво через викрадення даних стало популярним методом монетизації для багатьох супротивників . Компанія зазначає, що були помічені актори, пов'язані з КНДР, які проводили кампанії з викрадення даних і вимагання без використання програм-вимагачів, створюючи тиск через загрозу викриття конфіденційних даних .

CrowdStrike також підтвердила, що у випадках із «Famous Chollima», де компанія надавала послуги, факт викрадення даних був підтверджений у 50% інцидентів . Ця вилучена інформація може бути використана для вимагання. Успіх і масштаб цієї операції, заснованої на використанні легітимних облікових записів та інструментів генеративного ШІ, становить фундаментальний виклик для традиційних методів захисту, оскільки загроза перемістилася від злому периметра до створення довірених інсайдерів, яких наймають, яким платять зарплату і які крадуть зсередини.