Terrificanti nuovi fronti sono emersi in uno schema di frode di lavoro di grande successo in cui si è formato Agenti nordcoreani Ottieni lavoro presso le aziende in giro IL globo In identità false o rubate.
Il numero di aziende che assunto Gli sviluppatori di software nordcoreani sono aumentati del 220% negli ultimi 12 mesi e la maggior parte del loro successo è dovuta all’automazione e all’ottimizzazione del flusso di lavoro coinvolto nell’ottenimento in modo fraudolento e nella detenzione di lavori tecnologici, il rapporto di caccia alle minacce del 2025 di Crowdstrike è stato rilasciato lunedì lunedì rivelato. I lavoratori IT hanno infiltrato più di 320 aziende negli ultimi 12 mesi.
Al set di livelli: il Schema di lavoratori IT nordcoreani è una vasta cospirazione da sfuggire punire le sanzioni finanziarie sulla Repubblica popolare democratica di Corea a causa del sovrano autoritario Kim Jong Un Abusi per i diritti umani e incessante ricerca per sviluppare armi di distruzione di massa. Per schivare le sanzioni e fare soldi da tenere Finanziando il suo programma nucleareLa Corea del Nord ora allena giovani uomini e ragazzi nella tecnologia, li manda in scuole d’élite dentro e intorno a Pyongyang, quindi le dispiega in squadre di quattro o cinque in sedi di tutto il mondo tra cui Cina, Russia, Nigeria, Cambogia e Emirati Arabi Uniti.
I lavoratori sono tenuti a guadagnare $ 10.000 al mese, secondo un DEVECTOREe sono riuscito a farlo ottenendo posti di lavoro remoti facendolo lavorare negli Stati Uniti ed europei mentre guadagnavano buoni stipendi, I registri del tribunale mostrano. Dal 2018, il Una stimalo schema ha generato da $ 250 milioni a $ 600 milioni all’anno sul retro di migliaia di uomini nordcoreani.
Per il Fortune 500lo schema dei lavoratori IT è stato un Avviso rosso lampeggiante sull’evoluzione di frode dell’occupazione schemi. I registri del tribunale mostrano che centinaia di società Fortune 500 hanno inconsapevolmente assunto migliaia di lavoratori IT della Corea del Nord, in violazione delle sanzioni, negli ultimi anni. In alcuni casi, lo schema dei lavoratori IT riguarda puramente la generazione entrate stabili per il regime. In altri, gli investigatori dell’FBI hanno trovato prova I lavoratori IT condividono informazioni con hacker più dannosi che hanno rubato quasi $ 3 miliardi in criptosecondo le Nazioni Unite.
Sotto la vittoria
Le indagini di Crowdstrike hanno rivelato che i lavoratori tecnologici della Corea del Nord, un avversario Crowdstrike Dubs “famoso Chollima”, hanno usato l’intelligenza artificiale per ridimensionare ogni aspetto dell’operazione. I nordcoreani hanno usato l’intelligenza artificiale generativa per aiutarli a forgiare migliaia Identità sintetiche, alterare le fotoe crea strumenti tecnologici per ricercare lavori e tracciare e gestire le loro applicazioni. Nelle interviste, i nordcoreani hanno usato l’IA per mascherare il loro aspetto nelle videochiamate, guidali Nel rispondere alle domande e approvare le sfide della codifica tecnica associate all’ottenimento di lavori software.
Criticamente, ora fanno affidamento sull’intelligenza artificiale per aiutarli a apparire più fluenti in inglese e esperti nelle aziende in cui stanno intervistando. Una volta che sono stati assunti, i lavoratori IT usano i chatbot di intelligenza artificiale per aiutare con il loro lavoro quotidiano – che risponde a Slack, a redigere e -mail – per assicurarsi che le loro offerte scritte appaiano tecnicamente e grammaticalmente sani
“I famosi agenti Chollima molto probabilmente usano la tecnologia DeepFake in tempo reale per mascherare le loro vere identità nelle interviste video”, afferma il rapporto. “L’uso di un DeepFake in tempo reale consente plausibilmente a un singolo operatore di intervistare la stessa posizione più volte utilizzando persone sintetiche diverse, migliorando le probabilità che l’operatore venga assunto.”
Gli investigatori di Crowdstrike hanno osservato i lavoratori IT della Corea del Nord alla ricerca di applicazioni di swap sugli AI e pagando prezzi premium per gli abbonamenti ai servizi DeepFake durante le operazioni attive.
“Laptop Farms” si sposta oltre i confini degli Stati Uniti
Adam Meyers, senior vicepresidente delle operazioni di controspie di Crowdstrike, ha detto Fortuna La sua squadra generalmente indaga su un incidente al giorno relativo allo schema dei lavoratori IT nordcoreani. Il programma si è ampliato oltre i confini statunitensi come ha avuto le forze dell’ordine degli Stati Uniti Rifiuto sulle operazioni domestiche con accuse e consiglie poiché più aziende statunitensi hanno rafforzato le loro pratiche di sicurezza e hanno cinto le loro difese.
Il mese scorso, una donna dell’Arizona di 50 anni, Christina Chapman, era condannato a 8,5 anni di carcere a luglio dopo dichiarandosi colpevole per il suo ruolo nel gestire un “Farm per laptop“Da casa sua. I pubblici ministeri hanno affermato di aver accettato e mantenuto 90 laptop e ha installato software ad accesso remoto in modo che i nordcoreani potessero lavorare per le società statunitensi, hanno affermato i pubblici ministeri. Le autorità hanno rivelato che l’operazione di Chapman da sola ha aiutato i lavoratori a ottenere 309 posti di lavoro che hanno generato entrate di $ 17,1 milioni attraverso i loro stipendi. Quasi 70 americani hanno avuto le loro identità rubate nell’operazione, hanno detto le autorità. Questi non stavano semplicemente attaccando aziende più piccole con infrastrutture di assunzione più libere; Nike era una delle società colpite, secondo la sua dichiarazione di impatto sulla vittima nel caso di Chapman. La sneaker e il gigante di Activewear hanno involontariamente assunto un agente nordcoreano affiliato a Chapman. Nike non ha risposto FortunaLe richieste di commento.
“Le forze dell’ordine statunitensi hanno dato una grande ammaccatura nella loro capacità di gestire le aziende agricole dei laptop, in modo che diventa sempre più costoso o difficile ottenere lavori remoti qui negli Stati Uniti, stanno ruotando in altre località”, ha detto Meyers. “Stanno ottenendo più trazione in Europa.”
Meyers ha detto che Crowdstrike ha visto nuove fattorie per laptop stabiliti nell’Europa occidentale attraverso la Romania e la Polonia, il che significa che i lavoratori nordcoreani stanno ottenendo un lavoro, in genere come sviluppatori di Fullstack – in quei paesi e poi facendo spedire i laptop alle fattorie lì. Lo schema è lo stesso che funziona negli Stati Uniti: uno sviluppatore presumibilmente rumeno o polacco intervisterà con un’azienda, verrà assunto e un laptop verrà spedito a una destinazione famosa per laptop in quei paesi, ha detto. In altre parole, invece di spedire dispositivi e materiali di onboarding a un vero residente in cui il presunto sviluppatore lavora, il laptop viene spedito a un indirizzo agricola noto con sede in Polonia o Romania. In genere, la scusa è lo stesso tipo che si è dimostrato efficace nelle aziende statunitensi, ha affermato Meyers. Lo sviluppatore affermerà di avere un’emergenza medica o familiare che richiede un cambiamento nell’indirizzo di spedizione.
“Le aziende devono rimanere vigili se stanno assumendo all’estero”, ha detto Meyers. “Devono capire che questi rischi esistono non solo a livello nazionale, ma anche all’estero.”
I progressi di AI neutralizzano le difese
Amir Landau, leader del team di ricerca di malware presso la difesa Cyberark, ha detto Fortuna È probabile che le difese informatiche tradizionali non diventino insufficienti contro la minaccia poiché Genai utilizzata dai nordcoreani diventa abbastanza avanzata da sfondare i reparti di difesa delle aziende. Pertanto, ciò che le aziende devono fare per difendersi richiede un cambiamento fondamentale nel pensiero in termini di fiducia e accesso alle società di accesso ai propri dipendenti.
Il principio militare e di intelligence di una “base di conoscenza”, che ha avuto origine durante la seconda guerra mondiale, diventerà più importante, ha affermato Landau. Non tutti gli sviluppatori hanno bisogno di conoscere o avere accesso a determinati beni o documenti, anche dopo che sono stati con una società per un certo periodo di tempo, ha spiegato.
Landau sostiene inoltre privilegi minimi e limitati per gli sviluppatori, dando loro una breve finestra di tempo per il lavoro, piuttosto che un accesso illimitato che alla fine potrebbe rendere vulnerabile un’azienda.
Landau ha anche affermato che le aziende dovrebbero prendere qualche ulteriore Misure di buon senso nel processo di assunzione. Se un richiedente di lavoro fornisce un riferimento, non chiamare il numero di telefono o un messaggio all’indirizzo e -mail che ti è stato dato. Cercali e mettiti in contatto con ciò che vedi dai database pubblici, ha consigliato. Se le informazioni personali di qualcuno sembrano bizzarre o incoerenti, presta attenzione. Usa Internet per ricontrollare ciò che puoi trovare contro ciò che ti è stato detto.
“Ci sono molte piccole cose che puoi fare per difenderti da queste minacce”, ha detto.
E alla fine, sebbene le piccole aziende siano in genere più vulnerabili, ciò non significa che le aziende più grandi non siano anche suscettibili agli schemi di frode, ha detto Landau. Meyers ha detto che finché i lavoratori IT possono trovare lavoro, continueranno a evolvere le loro tattiche attraverso l’uso di Genai.
“Queste sono sostanzialmente persone sfruttate dalla Corea del Nord che fanno soldi per il regime”, ha detto Meyers. “Finché possono continuare a generare entrate, continueranno a farlo.”
