Famous Chollima APT grubundan Kuzey Kore devlet destekli ajanlar, kripto para birimi ve Web3 şirketlerindeki yazılım mühendisliği pozisyonlarına başvurmak için gerçek zamanlı yapay zeka deepfake’lerini kullanıyor.
Yeni kampanya, bu ajanların mühendislerin meşru kimliklerini ve özgeçmişlerini çalmasını, ardından kurbanlarının kimliğine bürünürken gerçek görünümlerini gizlemek için video röportajları sırasında yapay zeka destekli yüz filtreleri yerleştirmesini içeriyor. Amaçları, son birkaç yıldır oldukça yaygın olan bir taktik olan kurumsal casusluk ve fon edinimi için Batılı şirketlere sızmak.
Yapay zeka destekli yüz yeniden yapılandırma prosedürü
Quetzal Ekibinden tehdit istihbaratı analistleri, Famous Chollima APT grubundan Kuzey Koreli BT çalışanlarının bir kripto para birimi şirketinde Kıdemli Yazılım Mühendisi pozisyonlarına başvuran iki ardışık sızma girişimini tespit etti.
Ünlü Chollima, Lazarus grubunun Batılı şirketlerde iş bulma konusunda uzmanlaşmış bir bölümüdür ve öncelikle Kripto, Web3 ve Fintech sektörlerindeki yazılım mühendisliği pozisyonlarını hedef alır, ancak son raporlar inşaat mühendisliği ve mimariye de genişlediklerini gösteriyor.
Mateo ve Alfredo adlı Meksikalı mühendislerin çalıntı kimliklerini kullanan tehdit aktörleri, görünüşlerini yeniden yapılandırmaya çalışan gerçek zamanlı yapay zeka yüz filtreleriyle video röportajlara katıldı, ancak pek çok ayrıntı tam olarak birbirini tamamlamadı.
Kötü bir cerrah ve iki kötü yalancı
Görüşmeler sırasında deepfake teknolojisi açıkça başarısızlık belirtileri gösterdi. İlk adayın yüzü yoğun bir şekilde filtrelenmiş görünüyordu; konuşurken ağzı kapalı kalıyordu ve dişleri herhangi bir dudak hareketine eşlik etmiyordu.
İkinci operatör daha incelikli bir filtreleme kullandı ancak gergin bir davranış sergiledi, kaşlarını aşırı hareket ettirirken sürekli ileri geri sallanıyordu. Her ikisi de Meksika üniversitelerinde mühendislik okuduklarını ve sırasıyla Jalisco ve Chihuahua’da ikamet ettiklerini iddia etti, ancak sorgulandığında ikisi de tek kelime İspanyolca konuşmuyordu.
LinkedIn profilleri, görüşmeler sonlandırıldıktan hemen sonra ortadan kayboldu; bu, Quetzal Ekibi tarafından belgelenen daha önceki Chollima sızma girişimleriyle tutarlı bir model.
İnternet üzerinden zıplamak
Soruşturma, her iki operatörün de Çinli kullanıcılar tarafından Büyük Güvenlik Duvarını aşmak için yaygın olarak kullanılan ve DPRK BT çalışanları tarafından dolandırıcılık faaliyetleri nedeniyle giderek daha fazla tercih edilen bir hizmet olan Astrill VPN aracılığıyla bağlandığını ortaya çıkardı.
Bağlantıları, uzak masaüstü araçlarıyla erişilen dizüstü bilgisayar çiftliklerinin parçası olan ABD merkezli konut IP’lerine ulaşmadan önce Avrupa IP adresleri üzerinden tünel açtı. Operatörler, konut bağlantıları olan ABD merkezli adaylar gibi görünerek Kuzey Kore kökenlerini maskelemeye çalışıyorlardı.
Kuzey Koreli bilgisayar korsanlarının Batılı şirketlerde iş ararken kimliklerini gizlemeye yönelik son girişimi, uzaktan işe alım yapan kuruluşların neden sıkı geçmiş kontrolleri uygulaması ve uyum ekipleriyle yakın işbirliği içinde çalışması gerektiğini ortaya koyuyor. Bu, ulusal kimliklerin doğrulanmasını ve yasal olduğu durumlarda adayın gerçekliğini doğrulamak için görüşmelerin kaydedilmesini içerebilir.
Aksi halde sonuçları ağır olabilir. Temmuz ayında Arizonalı bir kadın, Kuzey Koreli bilgisayar korsanlarının 300’den fazla ABD şirketini hedef alan 17 milyon dolarlık BT iş dolandırıcılığı gerçekleştirmesine yardım ettiği için 8,5 yıl hapis cezasına çarptırıldı. Mayıs 2025’te yayınlanan bir rapor, Kuzey Koreli bilgisayar korsanlarının sahte kimlikler kullanarak ABD’li BT uzmanlarını taklit ederek 88 milyon dolardan fazla para çaldığını da ortaya çıkardı.