Hacker nordcoreani ripresi in un video mentre utilizzavano filtri AI in falsi colloqui di lavoro

Gli agenti sponsorizzati dallo Stato nordcoreano del gruppo Famous Chollima APT utilizzano deepfake basati sull'intelligenza artificiale in tempo reale per candidarsi a posizioni di ingegneria del software presso aziende di criptovalute e Web3.

La nuova campagna prevede che questi agenti rubino identità e curriculum legittimi di ingegneri, per poi utilizzare filtri facciali basati sull'intelligenza artificiale durante i colloqui video per nascondere il loro vero aspetto e impersonare le loro vittime. Il loro obiettivo è infiltrarsi nelle aziende occidentali per attività di spionaggio aziendale e acquisizione di fondi, una tattica piuttosto diffusa negli ultimi due anni.

Gli analisti di threat intelligence del Quetzal Team hanno individuato due tentativi consecutivi di infiltrazione da parte di dipendenti IT nordcoreani del gruppo Famous Chollima APT che si candidavano per posizioni di Senior Software Engineer presso un'azienda di criptovalute.

Famous Chollima è una divisione del gruppo Lazarus specializzata nell'ottenimento di posti di lavoro presso aziende occidentali, concentrandosi principalmente su posizioni di ingegneria del software nei settori Crypto, Web3 e Fintech, anche se recenti report mostrano che si sono espansi anche nell'ingegneria civile e nell'architettura.

Gli autori della minaccia, utilizzando le identità rubate di ingegneri messicani di nome Mateo e Alfredo, hanno partecipato a interviste video con filtri facciali basati sull'intelligenza artificiale in tempo reale che hanno tentato di ricostruire il loro aspetto, ma molti dettagli non tornavano.

Durante i colloqui, la tecnologia deepfake ha mostrato chiari segni di cedimento. Il volto del primo candidato appariva pesantemente filtrato, con la bocca chiusa mentre parlava e i denti che non accompagnavano alcun movimento delle labbra.

Il secondo agente ha usato un filtro più sottile, ma ha mostrato un comportamento nervoso, dondolandosi continuamente avanti e indietro mentre gesticolava eccessivamente con le sopracciglia. Entrambi hanno affermato di aver studiato ingegneria in università messicane e di risiedere rispettivamente a Jalisco e Chihuahua, ma nessuno dei due ha parlato una sola parola di spagnolo quando sono stati interrogati.

I loro profili LinkedIn sono scomparsi subito dopo la conclusione dei colloqui, un modello coerente con i precedenti tentativi di infiltrazione di Chollima documentati dal Quetzal Team.

L' indagine ha rivelato che entrambi gli agenti si sono connessi tramite Astrill VPN , un servizio comunemente utilizzato dagli utenti cinesi per aggirare il Great Firewall e sempre più utilizzato dai dipendenti IT della RPDC per attività fraudolente.

Le loro connessioni si infiltravano attraverso indirizzi IP europei prima di approdare su IP residenziali con sede negli Stati Uniti, facenti parte di computer portatili accessibili tramite strumenti di desktop remoto. Gli agenti cercavano di mascherare la loro origine nordcoreana spacciandosi per candidati residenti negli Stati Uniti con connessioni residenziali.

L'ultimo tentativo da parte di hacker nordcoreani di nascondere la propria identità mentre cercano lavoro in aziende occidentali evidenzia perché le aziende che assumono da remoto dovrebbero applicare rigorosi controlli dei precedenti e collaborare a stretto contatto con i team di conformità. Ciò potrebbe includere la verifica dei documenti d'identità nazionali e, ove consentito dalla legge, la registrazione dei colloqui per confermare l'autenticità dei candidati.

Altrimenti, le conseguenze possono essere gravi. A luglio, una donna dell'Arizona è stata condannata a 8 anni e mezzo di carcere per aver aiutato degli hacker nordcoreani a portare a termine una frode informatica da 17 milioni di dollari che ha preso di mira oltre 300 aziende statunitensi. Un rapporto del maggio 2025 ha inoltre rivelato che gli hacker nordcoreani avevano già rubato oltre 88 milioni di dollari impersonando professionisti IT statunitensi con false identità.