Специалисты компании CrowdStrike зафиксировали сотни случаев, когда граждане КНДР, выдавая себя за удалённых IT-сотрудников, внедрялись в компании для финансирования режима. Это число резко выросло по сравнению с предыдущими годами. Согласно последнему отчёту компании об отслеживании угроз
[https://go.crowdstrike.com/rs/281-OBQ-266/images/Threat-Hunt-Report-2025.pdf], за последние 12 месяцев было выявлено более 320 подобных инцидентов — на 220% больше, чем годом ранее. Злоумышленники получали работу в западных компаниях под видом разработчиков, используя поддельные документы.
Схема предполагает создание фальшивых личностей, резюме и трудовых историй для трудоустройства. Цель — не только получение средств для санкционированной программы ядерного вооружения КНДР (принесшей режиму миллиарды долларов
[https://techcrunch.com/2024/11/28/north-korean-hackers-have-stolen-billions-in-crypto-by-posing-as-vcs-recruiters-and-it-workers/]), но и кража данных компаний для последующего шантажа. Точное количество северокорейских IT-специалистов, работающих в американских компаниях, неизвестно, но оценки достигают тысяч человек.
Группа, которую CrowdStrike называет Famous Chollima, использует генеративный ИИ и инструменты с искусственным интеллектом для создания резюме и модификации внешности (включая дипфейки) во время онлайн-собеседований. Хотя эта тактика не нова
[https://techcrunch.com/2024/11/28/north-korean-hackers-have-stolen-billions-in-crypto-by-posing-as-vcs-recruiters-and-it-workers/], эффективность проникновения в компании растёт, несмотря на запрет найма граждан КНДР.
В отчёте CrowdStrike рекомендует усилить проверку личности на этапе найма. Например, некоторые криптокомпании просят кандидатов публично критиковать лидера КНДР Ким Чен Ына, чтобы выявить шпионов. Для северокорейских работников, находящихся под постоянным surveillancе, выполнение такого требования невозможно.
Минюст США пытается пресекать подобные операции, targeting пособников схемы на территории страны
[https://techcrunch.com/2025/01/24/us-indicts-five-individuals-in-crackdown-on-north-koreas-illicit-it-workforce/]. В июне 2025 года были ликвидированы «фермы ноутбуков»
[https://techcrunch.com/2025/06/30/us-government-takes-down-major-north-korean-remote-it-workers-operation/] — стойки с устройствами, имитирующими физическое присутствие работников в США. Согласно обвинительным материалам
[https://www.justice.gov/usao-ma/pr/nine-charged-alleged-scheme-generate-revenue-north-korean-government-and-its-weapons], одна из группировок использовала данные 80 американцев (2021–2024 гг.) для удалённой работы в более чем 100 компаниях.