„Mini‑armata” lui Kim Jong Un: cum au pătruns agenții nord‑coreeni în marile companii IT din Europa
Rețele nord‑coreene au pătruns în companii IT europene cu identități false, deepfake și facilitatori, vizând posturi AI și ML și folosind „ferme de laptopuri”.
Sursa foto: Digi24
O schemă organizată, coordonată la scară largă și adaptată rapid la noile tehnologii a permis agenților din Coreea de Nord să se infiltreze în companii importante din sectorul tehnologic european. Metodele descrise de experți în securitate cibernetică combină furtul de identitate, identități fabricate, tehnologii de inteligență artificială și rețele de «facilitatori» plătiți pentru a păcăli procesele moderne de recrutare online.
De la America la Europa: extinderea unei operațiuni profitabile
Potrivit datelor citate în investigațiile recente, aceeași rețea a vizat anterior peste 300 de companii din Statele Unite în perioada 2020–2024, generând pentru Phenian câștiguri estimate de cel puțin 6,8 milioane de dolari, conform Departamentului de Justiție al SUA. După ce a demonstrat eficiența pe piața americană, operațiunea și‑a extins aria de acțiune către Europa, unde acum sunt vizate unele dintre cele mai mari firme din domeniul IT.
Experții subliniază că regimul de la Phenian tratează aceste activități ca pe operațiuni susținute de stat, transformând înșelătoria în sursă de valută și în vector de acces la tehnologie și informații de valoare pentru programul național. Schema a fost descrisă de specialiști ca o „mini‑armată” de agenți, capabilă să opereze organizat și repetitiv, obținând poziții bine plătite în companii de top.
Metodele folosite: identități false, avataruri și „ferme de laptopuri”
Elementul comun al înșelătoriei este obținerea unui loc de muncă legitim la distanță care oferă acces la resurse interne și la date sensibile. Tactica include mai mulți pași succesivi, fiecare conceput să eludeze verificările uzuale ale angajatorilor.
Furtul și fabricarea identităților
Un prim pas frecvent este furtul de identitate: agenții preiau conturi inactive de LinkedIn sau plătesc utilizatori pentru a le obține accesul. Pornind de aici, ei construiesc CV‑uri și documente de identitate false, completate cu recomandări create artificial pe platforme profesionale. Aceste elemente permit candidaturilor să pară credibile în fața recrutorilor.
Deepfake, măști digitale și interviuri la distanță
Pentru interviuri la distanță, rețeaua folosește inteligența artificială pentru a genera avataruri, măști digitale și videoclipuri deepfake care mimează prezența unui candidat real. În unele cazuri, companiile nu au suspectat nimic: angajați considerați „dintre cei mai buni” s‑au dovedit ulterior a fi agenți nord‑coreeni, după cum a relatat unul dintre specialiștii citați.
Facilitatorii: oameni plătiți să participe la interviuri
Pe măsură ce angajatorii și‑au actualizat procedurile de recrutare pentru a detecta fraudele digitale, agenții s‑au adaptat. O etapă ulterioară a schemei implică recrutarea de „facilitatori” — persoane reale plătite să participe fizic sau prin video la interviuri în locul agenților. Aceste persoane, deseori cu cunoștințe tehnice limitate, sunt instruiți sau însoțiți de materiale false care le permit să pară competente în conversațiile inițiale cu recrutorii.
Interceptarea echipamentelor și „ferme de laptopuri”
Odată primiți în post, unii dintre noii angajați se confruntă cu a doua fază a schemei: interceptarea laptopurilor trimise de angajatori. Conform relatărilor experților, agenții controlează aceste dispozitive de la distanță, instalându‑și instrumentele necesare pentru a opera în mediul companiei. În alte cazuri, au fost înființate «ferme de laptopuri», inclusiv în Marea Britanie, unde dispozitivele sunt centralizate pentru accesul mai multor agenți.
Inteligența artificială: instrument și mască
După infiltrare, agenții recurg la modele lingvistice mari (LLM) și la chatboți pentru a îndeplini sarcinile zilnice. Aceste instrumente le permit nu doar să pară productivi, ci și să gestioneze simultan mai multe poziții de lucru. Utilizarea LLM‑urilor reduce necesitatea prezenței umane constante, transformând lucrătorii falși într‑o forță eficientă din punct de vedere al costurilor.
Specialiști în securitate avertizează că, odată ce un cont intern sau un dispozitiv este compromis, agenții pot escalada accesul, pot încărca programe malițioase sau pot extrage informații sensibile, extinzând astfel impactul unei singure infiltrări peste mai multe niveluri ale organizației.
Reacția companiilor și măsurile de apărare
Detectarea acestei tipologii de atac a determinat unele firme să își revizuiască procesele de recrutare online, să introducă verificări suplimentare și să monitorizeze mai atent echipamentele trimise noilor angajați. Totuși, experții atenționează că metoda recruterii nu era percepută inițial ca o problemă de securitate majoră, ceea ce a creat o zonă de vulnerabilitate exploatată intens de rețelele nord‑coreene.
Jamie Collier, consilier principal în Europa al grupului Google Threat Intelligence, a explicat pentru Financial Times că recrutarea nu fusese privită în mod tradițional drept o problemă de securitate, ceea ce a lăsat companiile expuse. Collier a relatat și un caz în care un client a fost convins să nu creadă rezultatele investigației, considerând candidatul unul dintre cei mai buni angajați.
Rafe Pilling, director în cadrul companiei de securitate cibernetică Sophos, a descris operațiunea drept o „mini‑armată” care vizează locuri de muncă la distanță bine plătite în tehnologie, considerând schema o întreprindere susținută de stat. Pilling a mai subliniat că agenții se prezintă cu profiluri care indică între 7 și 10 ani de experiență în IT, ceea ce le permite să obțină poziții de încredere.
Exemple concrete și blocaje
Compania Amazon a raportat blocarea a cel puțin 1.800 de agenți nord‑coreeni care au încercat să obțină locuri de muncă din aprilie 2024 până în prezent, potrivit lui Stephen Schmidt, șeful departamentului de securitate al Amazon. Acest număr demonstrează amploarea eforturilor de recrutare organizate pentru a penetra medii corporative mari.
De asemenea, firma de securitate KnowBe4 a fost printre primele companii americane care au recunoscut public că au fost ținta unui astfel de atac. În cazul lor, un lucrător fals a încercat să obțină acces la sistemul de securitate cu scopul de a încărca malware, dar a fost identificat înainte de a-și duce la capăt acțiunea.
Țintirea pozițiilor de inteligență artificială și învățare automată
Experții observă o tendință clară: agenții nord‑coreeni își concentrează eforturile pe locuri de muncă legate de inteligența artificială și învățarea automată. Accesul la astfel de poziții poate oferi atât competențe tehnice, cât și date și modele de mare valoare, care pot fi reutilizate în operațiuni viitoare sau transferate către rețele centrale.
Stephen Schmidt a explicat că fenomenul nu se limitează la marile companii americane, ci se întinde în toată industria de tehnologie, inclusiv în Europa. Această focalizare pe AI și ML ridică îngrijorări privind transferul de know‑how și potențialele pierderi de proprietate intelectuală.
Vulnerabilități și lecții pentru recrutare
Un element esențial al schemei este faptul că procesul de recrutare a fost considerat mult timp ca o zonă separată de securitate, mai degrabă administrativă. Această separare a creat o fereastră de oportunitate pentru rețelele care exploatează tehnicile moderne de inginerie socială și tehnologiile deepfake.
Specialiștii în securitate recomandă integrarea verificărilor de securitate în fluxul de recrutare, monitorizarea strictă a echipamentelor trimise și aplicarea de controale pentru a detecta comportamente anormale odată ce un angajat începe activitatea. De asemenea, este esențială conștientizarea potențialului abuz al platformelor profesionale online și al riscurilor asociate conturilor compromise.
Imaginea de ansamblu: o problemă în creștere
Cazurile documentate până acum arată că rețeaua nord‑coreeană a transformat angajarea la distanță într‑un instrument de penetrare economică și informațională. De la fabricații de identitate și deepfake până la rețele de facilitatori și „ferme de laptopuri”, metoda combină mijloace digitale și umane pentru a atinge obiective economice și strategice.
Pe măsură ce tehnologiile de inteligență artificială și instrumentele digitale devin tot mai sofisticate, experții anticipează că aceste tactici se vor adapta la rândul lor, rămânând o amenințare serioasă pentru securitatea companiilor care nu integrează apărarea în întregul ciclu de viață al angajării.
Editor: Raul Nețoiu
Surse citate în investigație: raportări ale Departamentului de Justiție al SUA, declarații ale experților Jamie Collier (Google Threat Intelligence), Rafe Pilling (Sophos) și Stephen Schmidt (Amazon), precum și experiențele companiilor KnowBe4 și Amazon.
Linkuri relevante: Financial Times – investigație referitoare la recrutare și securitate, Digi24 – schema în SUA
