تهديد عمال تكنولوجيا المعلومات الكوريون الشماليون: كيف تسللت عمليات الاحتيال المدعومة من الدولة إلى شركات فورتشن 500 (AR)
تقريبًا كل شركة من شركات فورتشن 500 وظفت عن غير قصد عاملين كوريين شماليين في مجال تكنولوجيا المعلومات. تعرف على كيفية عمل عملية الاحتيال المدعومة من الدولة هذه وكيف أن التحقق من الهوية يوقفها.
تقريبًا كل شركة من شركات فورتشن 500 في أمريكا وظفت عن غير قصد عامل تكنولوجيا معلومات كوري شمالي. هذا ليس مجرد تكهن. إنه تقييم من مسؤولي المخابرات وباحثي الأمن السيبراني الذين يتتبعون أكبر عملية احتيال مدعومة من الدولة في التاريخ.
يقدر أن 100,000 عامل تكنولوجيا معلومات كوري شمالي ينتشرون عالميًا، ويولدون أكثر من 500 مليون دولار أمريكي سنويًا لبرامج أسلحة بيونغ يانغ. يستخدمون هويات أمريكية مسروقة وصور محسنة بالذكاء الاصطناعي وبنية تحتية لشبكات VPN وشبكات من الميسرين المحليين لاجتياز المقابلات وتجاوز عمليات التحقق من الخلفية وتحصيل الرواتب في شركات لا تعرف من وظفت حقًا.
في عام 2025، أفادت CrowdStrike عن زيادة بنسبة 220٪ في محاولات التسلل من قبل عمال تكنولوجيا المعلومات الكوريين الشماليين وتحقيق في أكثر من 320 حادثة عبر قاعدة عملائها. وأصدر مكتب التحقيقات الفدرالي (FBI) تحذيرًا رسميًا. واتهمت وزارة العدل 14 مواطنًا كوريًا شماليًا. وقام مكتب مراقبة الأصول الأجنبية (OFAC) بتوسيع العقوبات ضد شبكات عمال تكنولوجيا المعلومات الكورية الشمالية اعتبارًا من مارس 2026.
هذا ليس تهديدًا مستقبليًا. إنها عملية صناعية واسعة النطاق ومستمرة — والعمليات التقليدية للتوظيف غير قادرة بشكل أساسي على إيقافها.
كيف تعمل الخدعة
عملية عامل تكنولوجيا المعلومات الكوري الشمالي متطورة تمامًا لأنها تستغل افتراضات الثقة المضمنة في التوظيف عن بعد الحديث. إليك كيف تتكشف عملية التسلل النموذجية.
الخطوة 1: الحصول على الهوية
يحصل العملاء الكوريون الشماليون على هويات أمريكية مسروقة — أرقام الضمان الاجتماعي ورخص القيادة والتفاصيل الشخصية التي تم شراؤها من خروقات البيانات أو الحصول عليها من خلال الهندسة الاجتماعية. في بعض الحالات، يقومون بتجنيد أو إكراه الميسرين المقيمين في الولايات المتحدة الذين يقدمون هوياتهم الخاصة أو الوصول إلى وثائق الهوية.
الخطوة 2: الشخصيات المعززة بالذكاء الاصطناعي
باستخدام الهوية المسروقة كأساس، يقوم العملاء بإنشاء شخصيات مهنية مقنعة. يتم إنشاء الصور أو تحسينها باستخدام أدوات الذكاء الاصطناعي — غالبًا ما تبدأ بصور مخزنة وتعديلها لتتناسب مع الملف الديموغرافي للهوية المسروقة. يتم تزوير ملفات تعريف LinkedIn وحسابات GitHub والمحافظ المهنية لدعم الخلفية.
الخطوة 3: عملية المقابلة
يقوم عميل مختلف — غالبًا ما يكون مقره في الصين أو روسيا أو جنوب شرق آسيا — بإجراء المقابلات المرئية الفعلية. إنهم مدربون ومؤهلون تقنيًا ومدربون. في بعض الحالات، يتعاون أعضاء الفريق المتعددون أثناء مقابلة واحدة، حيث يكون شخص واحد مرئيًا على الكاميرا بينما يقدم الآخرون إجابات في الوقت الفعلي.
الخطوة 4: مزرعة أجهزة الكمبيوتر المحمولة
بمجرد التوظيف، تقوم الشركة بشحن جهاز كمبيوتر محمول إلى عنوان في الولايات المتحدة. لكن هذا العنوان ينتمي إلى ميسر يقوم بتشغيل ما يسميه مكتب التحقيقات الفدرالي (FBI) بـ "مزرعة أجهزة الكمبيوتر المحمولة" — وهو موقع يستضيف العشرات من الأجهزة الصادرة عن الشركة. يقوم الميسر بتثبيت برنامج الوصول عن بعد، مما يسمح للعامل الكوري الشمالي الفعلي بالاتصال من الخارج أثناء الظهور وكأنه يعمل من عنوان IP أمريكي.
الخطوة 5: استخراج الإيرادات
يقوم العامل الكوري الشمالي بأداء الوظيفة — غالبًا بكفاءة كافية لتجنب الشكوك — بينما يتم تحويل راتبه من خلال سلسلة من الحسابات المصرفية ومحافظ العملات المشفرة وخدمات تحويل الأموال مرة أخرى إلى بيونغ يانغ. توجه نسبة كبيرة من هذه الأموال بشكل مباشر إلى برامج الصواريخ الباليستية والأسلحة النووية في كوريا الشمالية.
KnowBe4: عندما يتم خداع شركة أمنية
إذا كنت تعتقد أن عملية التوظيف الخاصة بك آمنة، ففكر فيما حدث لـ KnowBe4 — إحدى الشركات الرائدة عالميًا في مجال تدريب التوعية بالأمن.
في يوليو 2024، وظفت KnowBe4 مهندس برمجيات عن بعد لفريق الذكاء الاصطناعي الداخلي. لقد اجتاز المرشح من خلال مسار التوظيف القياسي الخاص بهم: فحص السيرة الذاتية، ومقابلات مرئية متعددة، والتحقق من الخلفية، والتحقق من المراجع. كل شيء تحقق.
لقد استخدم المرشح هوية أمريكية مسروقة جنبًا إلى جنب مع صورة مخزنة محسّنة بالذكاء الاصطناعي كانت مقنعة بما يكفي لاجتياز المقابلات المرئية دون إثارة الشكوك. كانت الشخصية المصطنعة ماهرة تقنيًا ومصقولة مهنيًا.
شحنت KnowBe4 جهاز كمبيوتر محمول خاص بالشركة إلى الموظف الجديد. في غضون دقائق من استلامه، بدأ المشغل في تحميل البرامج الضارة — أدوات جمع بيانات الاعتماد وأحصنة طروادة للوصول عن بعد وأدوات استخراج البيانات. تم وضع النشاط علامة عليه من قبل مركز العمليات الأمنية الداخلي لـ KnowBe4 في الساعة 9:55 مساءً بتوقيت شرق الولايات المتحدة، وتم احتواء الجهاز على الفور.
لم يتم فقد أي بيانات. لم يتم اختراق أي أنظمة بخلاف الكمبيوتر المحمول الواحد. لكن الآثار كانت مذهلة: لقد تم خداع شركة تكمن أعمالها بأكملها في التوعية الأمنية من خلال عملية التوظيف الخاصة بها.
اتخذ الرئيس التنفيذي لـ KnowBe4، Stu Sjouwerman، قرارًا غير عادي بالكشف عن الحادث علنًا. "إذا كان بإمكان حدوث ذلك لنا،" كتب، "فيمكن أن يحدث ذلك لأي شخص تقريبًا".
كان على حق. لقد حدث ذلك بالفعل — مئات المرات.
شبكة مزرعة أجهزة الكمبيوتر المحمولة
في فبراير 2025، أدانت كريستينا تشابمان، وهي مواطنة أمريكية مقيمة في أريزونا، بالاحتيال السلكي وسرقة الهوية المشددة والتآمر لغسل الأموال. جريمتها: تشغيل واحدة من أكثر شبكات مزارع أجهزة الكمبيوتر المحمولة انتشارًا التي تدعم عمال تكنولوجيا المعلومات الكوريين الشماليين.
كانت عملية تشابمان صناعية النطاق. استضافت أجهزة الكمبيوتر المحمولة الصادرة عن الشركة في مقر إقامتها وفي مواقع أخرى، وأدارت الوصول عن بعد للعملاء الكوريين الشماليين الذين اتصلوا من الخارج. أثرت الخطة على أكثر من 300 شركة أمريكية وحققت أكثر من 17 مليون دولار أمريكي من الإيرادات للحكومة الكورية الشمالية.
كان دور تشابمان هو دور الميسر — فقد تلقت الأجهزة وصيانة VPN واتصالات سطح المكتب عن بعد وساعدت في تحريك الأموال. كانت مجرد عقدة في شبكة موزعة من الممكنات القائمة في الولايات المتحدة والتي جعلت العملية بأكملها ممكنة.
كانت وزارة العدل حازمة في مقاضاة هذه الشبكات. في عام 2024، وجهت هيئة محلفين فدرالية تهمًا إلى 14 مواطنًا كوريًا شماليًا بتوليد 88 مليون دولار أمريكي من خلال التوظيف عن بعد الاحتيالي، مما يجعلها واحدة من أكبر قضايا الاحتيال المرتبطة بحكومة أجنبية.
ولكن لكل شبكة يتم تفكيكها، يعتقد مجتمع المخابرات أن هناك العديد منها لا يزال يعمل. إن الاقتصاد ببساطة جذاب للغاية لبيونغ يانغ للتخلي عنه: توفر رواتب عمال تكنولوجيا المعلومات في قطاع التكنولوجيا الأمريكي عائدًا أعلى لكل عامل تشغيل من أي طريقة أخرى لتوليد الإيرادات متاحة للنظام الذي يعاني من العقوبات.
لماذا تفشل عمليات التوظيف التقليدية
تنجح عملية عامل تكنولوجيا المعلومات الكوري الشمالي لأنها تستهدف كل افتراض في سير عمل التوظيف عن بعد القياسي:
تتحقق عمليات التحقق من الخلفية من البيانات، وليس الهوية. تؤكد عملية التحقق من الخلفية أن رقم الضمان الاجتماعي والاسم وتاريخ الميلاد يتوافق مع شخص حقيقي لديه سجل نظيف. لا يتحقق من أن الشخص الجالس أمام الكاميرا هو هذا الشخص. عندما يتم سرقة الهوية الأساسية من مواطن أمريكي حقيقي، فإن عملية التحقق من الخلفية تعود بنتائج نظيفة — لأن الهوية نفسها قانونية.
تتحقق المقابلات المرئية من الحضور، وليس الهوية. يرى مدير التوظيف على مكالمة Zoom وجهًا ويسمع صوتًا. ليس لديه طريقة للتأكد من أن الوجه يتطابق مع وثيقة هوية صادرة عن الحكومة، أو أن الصورة ليست مولدة بالذكاء الاصطناعي، أو أن الشخص الموجود على الكاميرا هو نفس الشخص الذي سيسجل الدخول إلى أنظمة الشركة يوم الاثنين.
يتم تزوير عمليات التحقق من المراجع بسهولة. تحتفظ العمليات الكورية الشمالية بشبكات من المتواطئين الذين يعملون كمراجعين محترفين. إنهم يجيبون على المكالمات ويؤكدون تواريخ التوظيف ويمدحون عمل المرشح. بعض المراجعين هم أشخاص حقيقيون تم اختراقهم؛ والبعض الآخر شخصيات خيالية بالكامل.
يتم التغلب على فحوصات الموقع المستندة إلى IP بسهولة. تضمن شبكات VPN والوكلاء السكنية والبنية التحتية لمزرعة أجهزة الكمبيوتر المحمولة أن حركة مرور الشبكة تبدو وكأنها تنشأ من عنوان سكني أمريكي. يرى المراقبة التقليدية لتكنولوجيا المعلومات IP محليًا وتنتقل.
والنتيجة هي مسار توظيف غير قادر هيكليًا على اكتشاف عملية احتيال الهوية المدعومة من الدولة والمزودة بموارد جيدة. يمكن هزيمة كل فحص فردي بمعزل عن غيره. ولأن لا يوجد فحص واحد يتقاطع مع الآخر، فإن السلسلة بأكملها تفشل بصمت.
الاستجابة التنظيمية
اعترفت الحكومة الأمريكية بحجم التهديد وتستجيب عبر وكالات متعددة:
تحذير FBI IC3 (يوليو 2025): أصدر مركز الشكاوى الخاصة بالجرائم عبر الإنترنت التابع لمكتب التحقيقات الفدرالي (FBI) تحذيرًا رسميًا يحذر الشركات الأمريكية من مخططات عمال تكنولوجيا المعلومات الكوريين الشماليين، ويقدم مؤشرات على المخاطر وعلامات حمراء لمديري التوظيف. سلط التحذير على وجه التحديد على استخدام الصور المولدة بالذكاء الاصطناعي وتقنية التزييف العميق في عملية المقابلة.
عقوبات OFAC (مارس 2026): وسعت مكتب مراقبة الأصول الأجنبية (OFAC) تعييناتها للعقوبات لتشمل المزيد من شبكات عمال تكنولوجيا المعلومات الكوريين الشماليين والشركات الوهمية والميسرين. تواجه الشركات التي تدفع رواتبًا عن غير قصد لأفراد خاضعين للعقوبات انتهاكات محتملة للعقوبات — مما يضيف خطرًا قانونيًا وماليًا كبيرًا إلى ما هو بالفعل مشكلة أمنية.
اتهامات وزارة العدل: اتخذت وزارة العدل إجراءات ضد كل من العملاء الكوريين الشماليين والميسرين القائمين في الولايات المتحدة. تهمة الـ 14 شخصًا في عام 2024 وإدانة تشابمان في عام 2025 تشير إلى موقف إنفاذي يعامل التسهيل على أنه خطير مثل الاحتيال الأساسي.
استخبارات CrowdStrike: كانت الاستخبارات الأمنية الخاصة بالقطاع أساسية. لقد قدم تحقيق CrowdStrike في أكثر من 320 حادثة التفاصيل الفنية اللازمة لفهم بنية العمليات، وإبلاغهم عن زيادة بنسبة 220٪ على أساس سنوي أجبر محادثات مجالس الإدارة حول تهديد تم تجاهله في السابق.
الرسالة التنظيمية واضحة: من المتوقع أن تتخذ الشركات خطوات معقولة للتحقق من هوية العمال عن بعد. "لم نكن نعرف" لم يعد دفاعًا كافيًا.
كيفية حماية مؤسستك
عملية عامل تكنولوجيا المعلومات الكوري الشمالي متطورة، لكنها ليست منيعة. إنها تستغل الفجوات بين خطوات التوظيف التي لم يتم تصميمها للعمل معًا كنظام موحد للتحقق من الهوية. يتطلب سد تلك الفجوات التعامل مع إعداد الموظفين بنفس الدقة التي تتعامل بها مع KYC للعملاء — لأن المخاطر مماثلة.
التحقق من المستندات
يجب على كل موظف جديد تقديم وثيقة هوية صادرة عن الحكومة يتم التحقق منها مقابل قوالب مستندات معروفة. غالبًا ما يستخدم العملاء الكوريون الشماليون مستندات مزورة أو معدلة أو ملفقة بالكامل. يكتشف التحقق الآلي من المستندات الذي يتحقق من أكثر من 14000 نوع من المستندات في أكثر من 220 دولة عدم الاتساق في الخطوط والعلامات المائية ورموز MRZ والميزات الأمنية التي لن يكتشفها أي مراجع بشري.
فحص AML وقائمة المراقبة
إذا كانت كريستينا تشابمان أو أي من المواطنين الكوريين الشماليين الأربعة عشر المتهمين قد تم فحصهم مقابل قائمة العقوبات الخاصة بـ OFAC أو قواعد بيانات العقوبات أو قوائم المراقبة الخاصة بإنفاذ القانون، فسيتم وضع توظيفهم علامة عليه قبل البدء. يغير الفحص مقابل أكثر من 1000 قائمة مراقبة عالمية — بما في ذلك OFAC والأمم المتحدة والعقوبات والإنتربول وقواعد بيانات مكتب التحقيقات الفدرالي — عملية التوظيف من عملية قائمة على الثقة إلى عملية موثقة بالامتثال.
اكتشاف الحيوية القياسية الحيوية
مكنت حالة KnowBe4 من خلال صورة مخزنة محسّنة بالذكاء الاصطناعي كانت مقنعة بما يكفي لاجتياز المقابلات المرئية. يوقف اكتشاف الحيوية القياسية الحيوية ذلك تمامًا. من خلال مطالبة المستخدم بالتقاط صورة سيلفي في الوقت الفعلي مع فحوصات الحيوية السلبية — واكتشاف العمق والملمس والحركات الدقيقة والإشارات الحيوية الأخرى — يمكن للمؤسسات التأكد من أنها تتفاعل مع إنسان حي، وليس صورة أو تزييف عميق أو فيديو مسجل مسبقًا.
مطابقة الوجه (التحقق 1: 1)
حتى إذا كانت وثيقة الهوية مسروقة وليست مزورة، فإن تقنية مطابقة الوجه تضمن أن الشخص الذي يقدم الوثيقة هو الشخص الموجود في الصورة. يقوم مقارنة قياسية حيوية 1: 1 بين الصورة السيلفي المباشرة وصورة الهوية بالكشف عن الخداع الأساسي في مخطط كوريا الشمالية: الشخص الذي تتم مقابلته ليس نفس الشخص الموجود في وثيقة الهوية. بتكلفة 0.05 دولار أمريكي للتحقق الواحد، إنه الإجراء المضاد الأكثر فعالية من حيث التكلفة ضد استبدال الهوية.
تحليل IP والاتصال
يعتمد العملاء الكوريون الشماليون على شبكات VPN والوكلاء السكنية وشبكات Tor لإخفاء موقعهم الحقيقي. يشير تحليل IP إلى الاتصالات من موفري VPN المعروفين وخدمات الوكيل ومراكز البيانات وشبكات إخفاء الهوية. بتكلفة 0.03 دولار أمريكي للتحقق الواحد، فإنه يوفر إشارة خفيفة الوزن ولكنها فعالة تشير إلى أن موقع المستخدم المطالب لا يتطابق مع البنية التحتية للشبكة الفعلية.
المراقبة المستمرة
لا ينتهي التهديد في الإعداد. قد يجتاز العملاء الكوريون الشماليون الفحوصات الأولية ثم يغيرون السلوك — تصعيد امتيازات الوصول أو استخراج البيانات أو تثبيت البرامج الضارة (كما في حالة KnowBe4). تضمن المراقبة المستمرة اكتشاف أي تغييرات في حالة الهوية أو قوائم العقوبات أو وسائل الإعلام السلبية في الوقت الفعلي، وليس بعد أشهر أثناء المراجعة السنوية.
الحسابات التي يجب أن تبقي مديري أمن المعلومات مستيقظين في الليل
متوسط تكلفة التسلل من قبل عامل تكنولوجيا المعلومات الكوري الشمالي — بما في ذلك الاستجابة للحوادث والتعرض القانوني المحتمل وانتهاكات العقوبات والأضرار التي تلحق بالسمعة — يبلغ مئات الآلاف من الدولارات لكل حادثة. بالنسبة للشركات التي تكتشف الانتهاك بعد حدوث استخراج للبيانات، تتضاعف التكاليف.
تتراوح تكلفة حزمة التحقق من الهوية الشاملة — التحقق من المستندات والحيوية القياسية ومطابقة الوجه وفحص AML وتحليل IP — بين 0.30 دولارًا أمريكيًا و 0.50 دولارًا أمريكيًا لكل تحقق. بالنسبة للشركة التي توظف 1000 عامل عن بعد سنويًا، يبلغ ذلك 300 إلى 500 دولار أمريكي في إجمالي تكاليف التحقق.
السؤال لم يعد ما إذا كانت مؤسستك تستطيع تحمل تطبيق التحقق من الهوية في التوظيف. إنه ما إذا كنت تستطيع تحمل عدم القيام بذلك — عندما تستهدف الجهات الفاعلة المدعومة من الدولة بنشاط إعلانات الوظائف المفتوحة الخاصة بك، وتوضح اللوائح أن الجهل ليس دفاعًا.
لم يعد التحقق من الهوية مجرد مربع امتثال للخدمات المالية. في عصر الاحتيال المرشح المدعوم من الدولة، فهو ضرورة أمنية وطنية لكل مؤسسة توظف عن بعد.
ستستمر عملية عامل تكنولوجيا المعلومات الكوري الشمالي في التوسع. إنها مربحة للغاية بالنسبة لبيونغ يانغ وسهلة التنفيذ ضد المؤسسات التي تعتمد على التوظيف القائم على الثقة. الشركات التي تنجو من هذا التهديد هي تلك التي توقفت عن الثقة وبدأت في التحقق.
