هكذا يخترق جيش قراصنة بكوريا الشمالية سوق العمل في العالم

في إطار حملته المتواصلة للتهرب من العقوبات الدولية وجمع الأموال، عمد جيش القرصنة الإلكتروني في كوريا الشمالية إلى استهداف سوق العمل العالمية، فاستغل الذكاء الاصطناعي للتنكر كعمال تقنية معلومات من بعد، وطرح عروض وظائف وهمية في هذا المجال بهدف اختراق أنظمة الحوسبة السحابية الخاصة بالشركات الغربية.

منذ نهاية الحرب الكورية عام 1953، فرضت الولايات المتحدة ودول متعددة قيوداً شديدة على كوريا الشمالية، تضمنت قيوداً تجارية ومالية، ولاحقاً عام 2006، شددت تلك العقوبات بصورة كبيرة بعد إجراء بيونغ يانغ أول تجربة نووية لها، مما أدى إلى فرض حظر على الاستثمارات والمساعدات المالية والسفر. حتى اندلاع الحرب الروسية على أوكرانيا في فبراير (شباط) 2022، كانت كوريا الشمالية الدولة الأكثر خضوعاً للعقوبات على مستوى العالم، ومن الطبيعي أن تؤثر هذه العقوبات سلباً على الاقتصاد الكوري الشمالي.

في عام 2023، تراجع الناتج المحلي الإجمالي للبلاد نسبياً ليصل إلى نحو 23 إلى 30 مليار دولار، وهو ما يضعها في مرتبة منخفضة جداً عالمياً مقارنة بجارتها الجنوبية التي يتجاوز اقتصادها تريليون دولار، مما يظهر الفجوة الشاسعة بين البلدين.

القرصنة والهجمات الإلكترونية

وأشار موقع "كوين غيك" إلى أنه في الأعوام الأخيرة، لجأت كوريا الشمالية بصورة متزايدة إلى القرصنة والهجمات الإلكترونية كوسيلة لكسب وغسل الأموال، إذ أثبتت الأصول الرقمية ومجال الـ"بلوك تشين" فاعليته بصورة خاصة.

وفي الأسبوع الماضي، نشرت "غوغل كلاود" تقريرها بعنوان "آفاق تهديدات السحابة للنصف الثاني من عام 2025"، والذي كشف عن أن مجموعة استخبارات التهديدات في "غوغل" تتابع بفعالية العملية القرصنية الكورية الشمالية المعروفة باسم "UNC4899".

وفي الحالتين المذكورتين في التقرير، تواصل المخترقون مع موظفي شركتين عبر وسائل التواصل مثل "تيليغرام" و"لينكدإن"، متظاهرين بأنهم يقدمون فرص عمل حر في مجال تطوير البرمجيات، وتمكنوا من إقناع الضحايا بتفعيل وتشغيل منصة "دوكر" التي تتيح للمستخدم بناء التطبيقات واختبارها ونشرها بسرعة، مما أدى إلى تنفيذ برامج ضارة (مثلGLASSCANNON، وPLOTTWIST، MAZEWIRE)، وفتح صلة بالبنى التحتية للتحكم والقيادة التي يسيطر عليها المخترقون، ثم قاموا بجولة استطلاعية داخلية لجمع بيانات الاعتماد الضرورية واستخدامها للوصول إلى بيئات السحابة، وفي النهاية، نجحوا في نقل ملايين الدولارات من العملات المشفرة من حسابات الشركات المستهدفة.

وفق ما أوضحته شركة "ويز" المتخصصة بأمن السحابة، فإن هذه العمليات تندرج ضمن نشاط أوسع يعرف باسم "تريد تريتر".

الهندسة الاجتماعية وأحصنة طروادة

ومنذ عام 2020، نفذت هذه المجموعة حملات متعددة، تشترك في تكتيكات مثل الهندسة الاجتماعية وأحصنة طروادة، لكنها تستهدف قطاعات مختلفة ضمن منظومة العملات المشفرة.

وأوضحت وزارة الخزانة الأميركية أن الجهات المرتبطة بـ"تريد تريتر" تشمل مجموعات مثل "لازاروس غروب" و"أي بي تي 38" و"بلو نوروف" و"ستاردست كوليما".

ومن أبرز العمليات التي نسبت إلى "لازاروس غروب" كان الاختراق العظيم لمنصة "باي بيت" في فبراير (شباط) 2025، إذ سرقت 1.4 مليار دولار من عملة "أثيريوم"، في واحدة من أكبر عمليات القرصنة في هذا المجال.

وبينما يبقى الهدف المالي هو الدافع الرئيس لهذه الهجمات، حذرت "ويز" من أن المجموعة قد تسعى أيضاً إلى أهداف تجسسية استراتيجية في قطاع العملات المشفرة وتقنيات الـ"بلوك تشين" مثل الاستحواذ على الملكية الفكرية والتقنيات الحساسة.

وعلى رغم أن وسيلة خداع الموظفين بعروض عمل حر أثبتت نجاحها في حالات مختارة، فإن هذا الأسلوب ليس المجال الوحيد الذي يحقق أرباحاً عالية لكوريا الشمالية.

كيف يبتز القراصنة الشركات؟

في الرابع من أغسطس (آب) الجاري، أصدرت شركة الأمن السيبراني الأميركية العملاق "كراود سترايك" تقريرها "رصد التهديدات لعام 2025"، الذي أبرز فيه ما وصفته بـ"صعود الخصم المغامر".

وفيما يخص كوريا الشمالية، رصدت الشركة أكثر من 320 حادثة خلال الـ12 شهراً الماضية حتى 30 يونيو (حزيران) الماضي، تمكن خلالها عملاء حكوميون من الحصول على وظائف احتيالية كمطوري برامج من بعد لدى شركات غربية، أي ما يمثل زيادة بنسبة 220 في المئة مقارنة بالعام السابق.

ويعتمد هذا المخطط على جهات كورية شمالية تستخدم هويات وسيراً ذاتية وسجلات عمل مزيفة، غالباً ما تولد بواسطة الذكاء الاصطناعي، للحصول على وظائف وكسب الأموال لمصلحة النظام، ومن ثم يستخدم الموظفون الوهميون، الذين غالباً ما لا يتقنون الإنجليزية بطلاقة، أدوات الذكاء الاصطناعي المتقدمة للقيام بمهامهم الوظيفية الحقيقية.

وأكدت "كراود سترايك" أن مجموعة القرصنة الكورية الشمالية المعروفة باسم "فيموس تشوليما" تعد من أبرز الجهات المتورطة في هذه الحملة، إذ نفذت عمليات تهريب داخلي بوتيرة تشغيلية شديدة السرعة باستخدام أدوات مدعومة بتقنيات الذكاء الاصطناعي (GenAI) لتحسين كل مرحلة من مراحل عملية التوظيف.

يشمل ذلك استخدام الذكاء الاصطناعي التوليدي وأدوات أخرى مدعومة به لصياغة السير الذاتية، وتعديل أو "تزييف" مظهرهم أثناء المقابلات من بعد، والترجمة لهم.

وأوضح التقرير، "بمجرد توظيفهم، يستخدم موظفو تكنولوجيا المعلومات في شركة "فيموس تشوليما برامج جن أي آي" للمساعدة في البرمجة مثل "مايكروسوفت كو بايلوت" أو "في أس كوديو" وأدوات ترجمة GenAI للمساعدة في المهام اليومية والمراسلات المتعلقة بوظائفهم المشروعة. وهؤلاء العملاء لا يجيدون اللغة الإنجليزية، ومن المرجح أن يعملوا في ثلاث أو أربع وظائف في وقت واحد، ويحتاجون إلىGenAI  لإكمال عملهم وإدارة تدفقات متعددة من الاتصالات والرد عليها".

وبمجرد توظيفهم، يمكن لهؤلاء العملاء أيضاً استخدام مناصبهم وبيانات اعتمادهم للوصول إلى بيانات الشركة الحساسة، التي يمكنهم استخدامها لاحقاً لابتزاز الشركة.

وفي هذا الجزء من العملية، تصبح أدوات الذكاء الاصطناعي مفيدة مرة أخرى للقراصنة، كما أشار موقع "كراود سترايك"، إلى أنهم يستخدمون نماذج متاحة للعامة لمساعدتهم في عمليات الاستطلاع، وبحث الثغرات، وتطوير محتوى حملات التصيد الاحتيالي والحمولات.

وأوصت شركة "كراود سترايك" باتخاذ عدة تدابير للحد من هذه الهجمات، بما في ذلك عمليات التحقق من الهوية المعززة أثناء مرحلة التوظيف، وتحديات التزييف العميق في الوقت الفعلي أثناء جلسات المقابلة أو تقييم التوظيف، وبرامج التدريب المصممة لتعليم مديري التوظيف وموظفي تكنولوجيا المعلومات كيفية التعرف على التهديدات الداخلية المحتملة باستخدام أدوات الذكاء الاصطناعي.