Hé lộ 'Chollima Nổi Tiếng': Cách Bắc Triều Tiên dùng AI Deepfake để kiếm việc công nghệ và đánh cắp 2 tỷ USD

Trò lừa tuyển dụng ứng dụng AI

Thủ đoạn cốt lõi của Famous Chollima vừa tinh vi lại đơn giản đến mức đáng lo ngại: kiếm cho được một công việc. Hoạt động ít nhất từ năm 2018, nhóm này chuyên tìm kiếm các công việc làm tự do hoặc toàn thời gian một cách gian lận, thường là với tư cách lập trình viên phần mềm từ xa .

Thay đổi gần đây chính là quá trình công nghiệp hóa hành vi lừa đảo tuyển dụng. Báo cáo Săn lùng Mối đe dọa năm 2025 của CrowdStrike mô tả một "bức tranh rõ nét về một kẻ địch đã đan xen sâu vào các công cụ GenAI để tự động hóa và tối ưu hóa quy trình làm việc ở mọi giai đoạn của quá trình tuyển dụng" .

Các chiến thuật cụ thể được ghi lại trong báo cáo của CrowdStrike bao gồm:

• Video và âm thanh deepfake do AI tạo ra cho các cuộc phỏng vấn từ xa. Các đặc vụ sử dụng các công cụ GenAI phổ biến, bao gồm ChatGPT của OpenAI và Gemini của Google, để thay đổi giọng nói và video theo thời gian thực trong lúc phỏng vấn video, đồng thời tạo ra các câu trả lời thuyết phục cho các câu hỏi chuyên môn .
• Hồ sơ cá nhân chuyên nghiệp hoàn toàn hư cấu. Các tác nhân đe dọa tạo ra các hồ sơ LinkedIn bóng bẩy với ảnh đại diện do AI tạo, kèm theo lịch sử việc làm đáng tin cậy và sơ yếu lý lịch giả có thể vượt qua các cuộc kiểm tra lý lịch .
• Giấy tờ tùy thân thật bị đánh cắp. Đặc vụ lợi dụng số An sinh Xã hội Mỹ và các giấy tờ tùy thân khác bị đánh cắp để làm sâu sắc thêm vỏ bọc hợp pháp cho các hệ thống sàng lọc lý lịch .

Đội ngũ săn lùng mối đe dọa OverWatch của CrowdStrike đã điều tra hơn 320 vụ việc riêng biệt về các đặc vụ Famous Chollima kiếm được việc làm gian lận trong vòng 12 tháng – một mức tăng đáng kinh ngạc 220% so với năm trước đó . Tỷ lệ thành công của những vụ lừa đảo tuyển dụng này cũng tăng vọt 220%, và Adam Meyers, người đứng đầu bộ phận chiến dịch đối kháng của CrowdStrike, lưu ý rằng nhóm của ông hiện đang phản hồi khoảng một sự cố như vậy mỗi ngày .

Mục tiêu của chúng là gì

Động cơ là một đường ống doanh thu kép cho chế độ bị trừng phạt này.

Dòng thứ nhất là trộm lương một cách đơn giản. Các đặc vụ Famous Chollima nhận lương từ các công ty mà chúng thâm nhập, chuyển tiền về Bắc Triều Tiên. Dòng thứ hai – và gây thiệt hại hơn cho nạn nhân – là đánh cắp tài sản trí tuệ. Một khi đã ở trong mạng với thông tin xác thực hợp pháp, các đặc vụ sẽ đánh cắp mã nguồn độc quyền, bí mật thương mại và các tài sản trí tuệ nhạy cảm khác .

Song song với kế hoạch nhân viên IT này, hệ sinh thái mạng rộng lớn hơn của Bắc Triều Tiều chạy một chiến dịch trộm cắp tiền mã hóa quy mô lớn. Báo cáo Bối cảnh Mối đe dọa Dịch vụ Tài chính 2026 của CrowdStrike cho thấy các nhóm liên kết với CHDCND Triều Tiên đã đánh cắp tổng cộng 2,02 tỷ USD tài sản kỹ thuật số trong năm 2025, tăng 51% so với năm trước . Vụ trộm đơn lẻ lớn nhất – 1,46 tỷ USD tiền mã hóa – được quy cho nhóm liên quan có tên PRESSURE CHOLLIMA, nhóm này đã triển khai phần mềm chứa mã độc thông qua một cuộc tấn công chuỗi cung ứng .

Điểm đến cuối cùng của các khoản tiền này là rất rõ ràng. Hàng tỷ đô la bị đánh cắp "gần như chắc chắn được rửa và sẽ được sử dụng để tài trợ cho các chương trình quân sự và vũ khí hạt nhân của chế độ", Báo cáo Bối cảnh Mối đe dọa Dịch vụ Tài chính 2026 nêu rõ .

Vượt xa việc tuyển dụng: tống tiền bằng đánh cắp dữ liệu

Trong khi các báo cáo công khai về Famous Chollima nhấn mạnh vào sự thâm nhập và đánh cắp, việc rút ruột dữ liệu mang lại một khoản lợi tiềm năng thứ hai. Các chiến dịch mạng rộng hơn của Bắc Triều Tiên đã áp dụng chiến thuật tống tiền đánh cắp dữ liệu – đe dọa rò rỉ thông tin bị đánh cắp trừ khi nhận được tiền chuộc.

Báo cáo Mối đe dọa Toàn cầu trước đó của CrowdStrike đã theo dõi mức tăng 76% số nạn nhân được nêu tên trên các trang web chuyên rò rỉ dữ liệu (dedicated leak sites) khi tống tiền đánh cắp dữ liệu trở thành con đường kiếm tiền ưa thích của nhiều tác nhân đe dọa . Công ty ghi nhận rằng các tác nhân liên kết với CHDCND Triều Tiên đã bị quan sát thấy thực hiện các chiến dịch đánh cắp dữ liệu và tống tiền mà không cần triển khai mã độc tống tiền (ransomware), gây áp lực thông qua việc đe dọa phát tán dữ liệu nhạy cảm .

CrowdStrike cũng xác nhận rằng trong các hợp đồng dịch vụ liên quan đến Famous Chollima, việc đánh cắp dữ liệu đã được xác nhận trong 50% trường hợp . Thông tin bị rút ruột đó có thể được tận dụng để tống tiền, mặc dù các bản tóm tắt báo cáo công khai tập trung trực tiếp hơn vào đường ống thâm nhập nội bộ và trộm lương – trộm tiền mã hóa của nhóm. Các chi tiết chính xác về kịch bản đòi tiền chuộc sau khi bị phát hiện của Famous Chollima có thể chỉ có trong các báo cáo đầy đủ, chưa được biên tập lại chứ không phải trong các bản tóm tắt công khai hiện có.

Quy mô và sự tinh vi của chiến dịch này đại diện cho một mô hình mới trong xâm nhập mạng do quốc gia bảo trợ, chuyển dịch mối đe dọa từ các cuộc tấn công từ bên ngoài sang những nội gián đáng tin cậy – những người được thuê, được trả lương, và đánh cắp từ bên trong.