Новий звіт компанії з кібербезпеки CrowdStrike показав, що північнокорейські хакери, які видають себе за віддалених IT-фахівців і онлайн-рекрутерів, становили близько половини всіх задокументованих вторгнень типу «hands-on-keyboard» у технологічні компанії США за останній рік.
Останній щорічний звіт компанії про ландшафт кібербезпеки підкреслює зростання загрози з боку північнокорейських операторів, які перетворилися на значне джерело кібервторгнень у технологічній галузі. Хакери, пов’язані з режимом Кім Чен Ина, постійно націлюються на компанії та розробників, використовуючи схеми, спрямовані на викрадення інформації та криптовалюти для фінансування ядерної програми Пхеньяна, забороненої міжнародним правом.
CrowdStrike повідомила, що за період, охоплений звітом — з квітня 2025 по травень 2026 року — північнокорейське хакерське угруповання, яке компанія називає «Famous Chollima», було відповідальним за 47% усієї діяльності, підтримуваної державами, спрямованої проти технологічного сектору.
Компанія відстежує вторгнення типу hands-on-keyboard, тому що вони зазвичай означають участь реальних хакерів, які проводять зловмисні та приховані кібероперації, на відміну від автоматизованого шкідливого ПЗ, яке традиційні засоби захисту здатні виявляти. Такі атаки зазвичай починаються з викрадених паролів або облікових даних, після чого зловмисники зловживають легітимними інструментами, уже наявними в системах жертви, щоб зберігати стійкий доступ тривалий час.
Famous Chollima відома тим, що видає своїх учасників за технічних фахівців — розробників, програмістів та IT-спеціалістів, — які нібито шукають віддалену роботу в технологічних компаніях США, Європи та Азії під фальшивими приводами. Для цього хакери використовують ШІ для генерації глибинних підроблених зображень у реальному часі, підміняючи обличчя реальних людей, а також поєднують їх із фальшивими документами, зокрема викраденими паспортами та водійськими посвідченнями, щоб видавати себе за американців або інших іноземців. Це пов’язано з тим, що Північна Корея перебуває під жорсткими санкціями Заходу та ООН через її триваючу розробку ядерної зброї.
Потрапивши всередину компаній, хакери також отримують зарплату як наймані працівники, а ці кошти спрямовуються назад до північнокорейського режиму. Паралельно вони викрадають інтелектуальну власність та іншу конфіденційну корпоративну інформацію. Викрадені дані часто стають інструментом тиску: коли операторів зрештою викривають, вони нерідко погрожують оприлюднити викрадене, якщо компанія не заплатить викуп.