Bối cảnh an ninh mạng đang đối mặt với mối đe dọa chưa từng có khi các điệp viên Triều Tiên ngày càng vũ khí hóa trí tuệ nhân tạo để xâm nhập các công ty toàn cầu thông qua các âm mưu lừa đảo tuyển dụng tinh vi. Báo cáo săn lùng mối đe dọa mới nhất của CrowdStrike tiết lộ sự leo thang đáng kể trong các cuộc tấn công này, với tội phạm mạng tận dụng AI tạo sinh để tự động hóa và tối ưu hóa mọi giai đoạn hoạt động của họ, từ tạo danh tính giả đến các nhiệm vụ công việc hàng ngày.
Các phương thức tấn công được tăng cường bởi AI:
- Công nghệ deepfake thời gian thực cho các cuộc phỏng vấn video
- Ứng dụng hoán đổi khuôn mặt bằng AI
- Tạo danh tính tổng hợp
- Tự động hóa nghiên cứu công việc và theo dõi đơn ứng tuyển
- Chatbot AI cho giao tiếp công việc hàng ngày
- Gói dịch vụ deepfake cao cấp
Quy mô khổng lồ của việc xâm nhập nhân viên IT Triều Tiên
Báo cáo Săn lùng Mối đe dọa 2025 của CrowdStrike ghi nhận mức tăng đáng kinh ngạc 220% trong số công ty tuyển dụng các nhà phát triển phần mềm Triều Tiên trong 12 tháng qua. Công ty an ninh mạng này hiện điều tra khoảng một vụ việc mỗi ngày, làm nổi bật tính chất phổ biến của các cuộc tấn công này. Hơn 320 công ty đã trở thành nạn nhân của âm mưu lừa đảo tuyển dụng này chỉ trong năm qua, với hoạt động được các nhà nghiên cứu bảo mật đặt tên là Famous Chollima.
Âm mưu này đại diện cho một chiến lược lách lệnh trừng phạt tinh vi được điều phối bởi Cộng hòa Dân chủ Nhân dân Triều Tiên. Những thanh niên và nam sinh được đào tạo kỹ thuật tại các trường ưu tú ở trong và xung quanh Bình Nhưỡng trước khi được triển khai theo nhóm bốn hoặc năm người đến các địa điểm bao gồm Trung Quốc, Nga, Nigeria, Campuchia và Các Tiểu vương quốc Ả Rập Thống nhất. Mỗi điệp viên phải tạo ra 10.000 đô la Mỹ hàng tháng, đóng góp vào doanh thu hàng năm ước tính từ 250-600 triệu đô la Mỹ kể từ năm 2018, theo ước tính của Liên Hợp Quốc.
Thống kê về Âm mưu Nhân viên IT Bắc Triều Tiên:
- Tăng 220% số công ty bị ảnh hưởng trong 12 tháng
- Hơn 320 công ty bị xâm nhập trong năm qua
- CrowdStrike điều tra khoảng 1 vụ việc mỗi ngày
- Doanh thu hàng năm từ 250-600 triệu USD kể từ năm 2018
- Mỗi điệp viên được yêu cầu kiếm 10.000 USD mỗi tháng
Lừa dối được hỗ trợ bởi AI ở mọi giai đoạn
Trí tuệ nhân tạo tạo sinh đã cách mạng hóa hiệu quả hoạt động của Triều Tiên trên tất cả các giai đoạn. Các điệp viên sử dụng AI để tạo ra hàng nghìn danh tính tổng hợp, chỉnh sửa ảnh và xây dựng các công cụ tinh vi để nghiên cứu và quản lý đơn xin việc. Trong các cuộc phỏng vấn, họ sử dụng công nghệ deepfake thời gian thực để che giấu danh tính thực sự trong các cuộc gọi video, với các điều tra viên quan sát thấy việc tìm kiếm các ứng dụng hoán đổi khuôn mặt AI và đăng ký premium các dịch vụ deepfake.
Việc tích hợp AI mở rộng ra ngoài các giai đoạn tuyển dụng ban đầu. Khi đã được tuyển dụng, những nhân viên này dựa vào các chatbot AI để xử lý giao tiếp hàng ngày, soạn thảo email và phản hồi trên các nền tảng nhắn tin công việc như Slack. Sự hỗ trợ công nghệ này đảm bảo giao tiếp bằng văn bản của họ có vẻ chính xác về ngữ pháp và thành thạo về mặt kỹ thuật đồng thời cho phép họ duy trì nhiều vị trí đồng thời. Nghiên cứu của CrowdStrike chỉ ra rằng một điệp viên duy nhất có thể phỏng vấn cho các vị trí giống hệt nhau nhiều lần bằng cách sử dụng các nhân cách tổng hợp khác nhau, tăng đáng kể tỷ lệ thành công trong tuyển dụng.
Sự phát triển của hoạt động trang trại laptop
Việc trấn áp của cơ quan thực thi pháp luật Hoa Kỳ đã buộc hoạt động này phải thích ứng và mở rộng quốc tế. Vụ án của Christina Chapman, một phụ nữ 50 tuổi ở Arizona bị kết án 8,5 năm tù, minh họa quy mô hoạt động trong nước. Chapman điều hành một trang trại laptop từ nhà mình, duy trì 90 laptop với phần mềm truy cập từ xa cho phép các nhân viên Triều Tiên đảm bảo 309 công việc tạo ra 17,1 triệu đô la Mỹ doanh thu. Hoạt động này đã xâm phạm gần 70 danh tính người Mỹ và ảnh hưởng đến các tập đoàn lớn bao gồm Nike.
Khi các hoạt động trong nước đối mặt với sự giám sát gia tăng, CrowdStrike quan sát thấy các trang trại laptop mới nổi lên trên khắp Tây Âu, đặc biệt là ở Romania và Ba Lan. Phương pháp vẫn nhất quán: các nhà phát triển địa phương được cho là phỏng vấn với các công ty, nhận được lời mời làm việc và có laptop được gửi đến địa chỉ trang trại thay vì địa điểm cư trú hợp pháp. Những lý do phổ biến cho việc thay đổi địa chỉ bao gồm các trường hợp khẩn cấp y tế hoặc gia đình, những chiến thuật đã chứng minh hiệu quả trên nhiều khu vực pháp lý.
Chi tiết vụ án Christina Chapman :
- Phụ nữ 50 tuổi ở Arizona bị kết án 8,5 năm tù
- Vận hành 90 máy tính xách tay trong hoạt động "trang trại laptop"
- Giúp các lao động Bắc Triều Tiên có được 309 việc làm
- Tạo ra doanh thu 17,1 triệu USD
- 70 danh tính người Mỹ bị đánh cắp
- Nike nằm trong số các công ty bị ảnh hưởng
Mở rộng bề mặt tấn công thông qua AI doanh nghiệp
Ngoài lừa đảo tuyển dụng, các hacker ngày càng nhắm mục tiêu vào chính các hệ thống AI doanh nghiệp. CrowdStrike xác định các hệ thống AI tác nhân như một phần cốt lõi của bề mặt tấn công doanh nghiệp, với nhiều tác nhân đe dọa khai thác các lỗ hổng trong các công cụ phát triển tác nhân AI. Điều này đại diện cho một sự thay đổi đáng kể từ các mô hình tấn công truyền thống chủ yếu nhắm mục tiêu vào các điểm vào của con người.
Công ty bảo mật ghi nhận một số ví dụ về phần mềm độc hại được tăng cường bởi AI, bao gồm Funklocker và SparkCat, cả hai đều được phát triển bằng khả năng AI tạo sinh. Nhóm Scattered Spider, được cho là bao gồm các công dân Vương quốc Anh và Hoa Kỳ, đã chứng minh lợi thế về tốc độ của các cuộc tấn công được hỗ trợ bởi AI bằng cách triển khai ransomware trong vòng 24 giờ sau khi truy cập hệ thống. Mặc dù có tiến bộ công nghệ, CrowdStrike lưu ý rằng 81% các cuộc xâm nhập tương tác vẫn không có phần mềm độc hại, vẫn dựa vào các điều hành viên con người để duy trì sự bí mật.
Chiến lược phòng thủ và tác động tương lai
Các chuyên gia bảo mật khuyến nghị những thay đổi cơ bản trong các phương pháp bảo mật doanh nghiệp để giải quyết những mối đe dọa đang phát triển này. Amir Landau của CyberArk ủng hộ việc thực hiện các nguyên tắc cần biết theo kiểu quân sự, giới hạn quyền truy cập của nhà phát triển chỉ vào các tài nguyên thiết yếu. Các công ty nên thiết lập các chính sách đặc quyền tối thiểu với các cửa sổ truy cập có thời hạn thay vì cấp quyền truy cập hệ thống không giới hạn.
Các quy trình xác minh tuyển dụng nâng cao trở thành các biện pháp phòng thủ quan trọng. Các chuyên gia bảo mật khuyến nghị xác minh độc lập các tham chiếu thông qua cơ sở dữ liệu công cộng thay vì thông tin liên lạc được cung cấp, và tiến hành kiểm tra lý lịch kỹ lưỡng về thông tin cá nhân có vẻ không nhất quán. Adam Meyers nhấn mạnh rằng sự cảnh giác phải mở rộng ra ngoài tuyển dụng trong nước để bao gồm các quy trình tuyển dụng quốc tế.
Quỹ đạo cho thấy các biện pháp phòng thủ an ninh mạng truyền thống có thể trở nên không đủ khi khả năng AI tạo sinh tiến bộ. Miễn là các hoạt động này vẫn có lợi nhuận, các điệp viên Triều Tiên sẽ tiếp tục phát triển chiến thuật của họ thông qua việc tăng cường AI, tạo ra một cuộc chạy đua vũ trang liên tục giữa kẻ tấn công và người phòng thủ trong lĩnh vực an ninh mạng.