هاكرز كوريا الشمالية يستخدمون الذكاء الاصطناعي لخداع الموارد البشرية! انتحال صفة مهندسين للتسلل وسرقة 2.8 مليار – كل التفاصيل مكشوفة

قام باحثو الأمن في BCA LTD وNorthScan وANY.RUN بنشر مصائد إلكترونية لاستدراج مجموعة لازاروس الكورية الشمالية وفريق “تشوليما”، حيث قاموا بتصوير كامل عملية الاختراق من خلال جهاز لابتوب مطوّر مزيف. أظهرت اللقطات أن عملاء كوريا الشمالية استخدموا أدوات الذكاء الاصطناعي لإنتاج إجابات مثالية في المقابلات، وأخفوا مواقعهم وضبطوا رمز PIN ثابت في Google Remote Desktop لضمان السيطرة طويلة الأمد، مع التركيز على بناء صورة موظف نموذجي وليس تنفيذ هجوم فوري.

٢.٨ مليار دولار من الجرائم الإلكترونية أصبحت ركيزة الاقتصاد الكوري الشمالي

هذه الحادثة ما هي إلا جزء من منظومة صناعية أكبر اتخذت من الاحتيال الوظيفي مصدر دخل أساسي لنظام خاضع للعقوبات. وقدرت مجموعة مراقبة العقوبات المتعددة الأطراف مؤخرًا أن المنظمات المرتبطة ببيونغ يانغ سرقت حوالي ٢.٨٣ مليار دولار من الأصول الرقمية بين عامي ٢٠٢٤ وسبتمبر ٢٠٢٥. هذا الرقم يمثل تقريبًا ثلث دخل كوريا الشمالية من العملات الأجنبية، مما يدل على أن السرقة الإلكترونية أصبحت إستراتيجية اقتصادية سيادية.

حجم ٢.٨٣ مليار دولار يعادل الناتج المحلي الإجمالي السنوي لعدة دول صغيرة. وتُستخدم هذه الأموال لدعم برامج كوريا الشمالية للأسلحة النووية والصواريخ الباليستية، ما يجعل مكافحة قراصنة كوريا الشمالية قضية أمن دولي وليست مجرد مسألة أمن سيبراني. وزارة الخزانة الأمريكية، ومكتب التحقيقات الفيدرالي (FBI)، وعدة وكالات إنفاذ قانون في دول أخرى، جميعها تضع تتبع وإيقاف الجرائم الإلكترونية الكورية الشمالية كأولوية قصوى.

بعد أن قطعت العقوبات الدولية الطرق التجارية التقليدية أمام كوريا الشمالية، أصبحت الجرائم الإلكترونية من أهم وسائل البلاد للحصول على العملات الأجنبية. وبعكس تهريب الأسلحة أو تجارة المخدرات التقليدية، فإن الجرائم الإلكترونية منخفضة التكلفة، قليلة المخاطر نسبيًا، وذات عوائد ضخمة. فريق قراصنة كوري شمالي مدرّب لا يحتاج سوى كمبيوتر واتصال بالإنترنت ليتمكن من سرقة ملايين الدولارات من أي مكان في العالم.

هذا التشغيل الصناعي المنظم على مستوى الدولة يُظهر أن كوريا الشمالية تعتبر الجرائم الإلكترونية موردًا إستراتيجيًا. فمجموعتي لازاروس وتشوليما ليسوا مجرد قراصنة عشوائيين، بل جيش نظامي يتلقى تدريبًا حكوميًا، ورواتب، ومهام واضحة. تُخطط عملياتهم بدقة متناهية: من اختيار الأهداف، انتحال الهوية، الوسائل التقنية، إلى غسيل الأموال، ولكل مرحلة فريق مختص محترف.

أربع سمات رئيسية لصناعة الجريمة السيبرانية الكورية الشمالية

منظومة تدريب حكومية: اختيار مواهب القرصنة من المدارس المتوسطة، وتوفير تدريب تقني ولغوي متخصص

انتشار عالمي موزّع: يتواجد قراصنة كوريا الشمالية في الصين، جنوب شرق آسيا، وروسيا لتقليل مخاطر التتبع

تقسيم تنظيمي للعمل: فرق مختصة لكل مرحلة من التسلل، الهجوم، وغسيل الأموال لرفع الكفاءة

إدارة قائمة على الأهداف: لكل فريق هدف سنوي محدد للسرقة، مع مكافآت لمن يحقق المهام

في فبراير ٢٠٢٥، تعرضت إحدى أكبر منصات التداول المركزية (CEX) لهجوم أثبت فعالية أساليب “الهندسة الاجتماعية”. في تلك الحادثة، استغل قراصنة كوريون شماليون من مجموعة TraderTraitor بيانات اعتماد داخلية مسروقة، وموّهوا التحويلات الخارجية لتبدو كتحويلات أصول داخلية، وسيطروا في النهاية على عقود المحفظة الباردة الذكية. خسرت المنصة أكثر من ١.٤ مليار دولار، لتصبح واحدة من أكبر سرقات العملات المشفرة في التاريخ.

تسليح أدوات الذكاء الاصطناعي: من الإنتاجية إلى الهجوم

(المصدر: BCA LTD)

أكثر ما كشفته عملية المصيدة الإلكترونية إزعاجًا هو استخدام القراصنة الكوريين الشماليين لأدوات الذكاء الاصطناعي الإنتاجية كأسلحة. فقد استغلوا برامج التوظيف الآلي المشروعة مثل Simplify Copilot وAiApply لإنتاج إجابات مقابلات مثالية وملء الطلبات بشكل جماعي. هذه الأدوات صُممت أصلاً لمساعدة الباحثين عن عمل على تحسين كفاءتهم، لكنها أصبحت الآن سلاحًا بيد عملاء كوريا الشمالية لتجاوز فلاتر الموارد البشرية.

يمكن لـSimplify Copilot إنتاج خطابات تقديم وسير ذاتية مخصصة تلقائيًا بناءً على وصف الوظيفة، بينما AiApply يحاكي إجابات بشرية لأسئلة المقابلات الفنية. دمج القراصنة هذه الأدوات مع هويات حقيقية لمهندسين أمريكيين مسروقة، فخلقوا طلبات توظيف شبه مثالية. قسم الموارد البشرية يرى سيرة ذاتية متقنة، أداء مقابلة سلس، وخلفية حقيقية، فلا يوجد أي سبب للشك.

هذا الاستخدام لأدوات الإنتاجية الغربية يبرز اتجاهاً تصاعدياً مقلقاً، ويظهر كيف تستغل الجهات الحكومية تقنيات الذكاء الاصطناعي المصممة لتسهيل عمليات التوظيف لقلب الطاولة على الشركات نفسها. كما يسلط الضوء على الوجهين لتقنيات الذكاء الاصطناعي: نفس الأداة تعزز الإنتاجية ويمكن أن تصبح سلاح هجوم. يجب على الشركات عند اعتماد أدوات الذكاء الاصطناعي في التوظيف أن تأخذ بعين الاعتبار مخاطر إساءة استخدامها.

أظهرت التحقيقات أن القراصنة الكوريين الشماليين أخفوا مواقعهم عبر توجيه حركة البيانات، واستخدموا خدمات قائمة على المتصفح لمعالجة رموز المصادقة الثنائية المرتبطة بالهويات المسروقة. هذا الدمج التقني يوضح مدى معرفتهم العميقة بتدابير الأمان لدى الشركات الغربية. تجاوز فحوصات الموقع الجغرافي، معالجة رموز 2FA عبر المتصفح، وتوفير خلفية شرعية عبر هوية مسروقة، كلها تندمج لتشكّل نظام تمويه كامل.

الهدف النهائي ليس تدمير الهدف فورًا، بل السيطرة الطويلة الأمد. أنشأ العملاء بوابة خلفية عبر PowerShell بضبط رمز PIN ثابت في Google Remote Desktop لضمان التحكم في الجهاز حتى عند محاولة سحب الصلاحيات. هذا الأسلوب يُظهر صبر القراصنة الكوريين الشماليين وقدرتهم على التخطيط طويل المدى، إذ يكرسون شهورًا لبناء الثقة فقط للحصول على السيطرة الكاملة في اللحظة الحرجة.

تسجيلات المصيدة تكشف سلسلة الهجوم الكاملة واستراتيجيات المواجهة

(المصدر: NorthScan)

استدرج باحثو الأمن عملاء كوريا الشمالية إلى “لابتوب مطوّر” ملغّم، وصوّروا كل تحركاتهم. الباحثون في BCA LTD وNorthScan ومنصة تحليل البرمجيات الخبيثة ANY.RUN وثقوا تطور الجريمة السيبرانية المدعومة من الدولة لحظة بلحظة. وفرت هذه العملية منظورًا غير مسبوق لفهم سلسلة الهجوم الكاملة التي ينفذها القراصنة الكوريون الشماليون.

بدأت العملية بإنشاء هوية مطوّر وقبول دعوة مقابلة من مجند يُدعى “Aaron”. لم يستخدم هذا المجند برمجيات خبيثة تقليدية، بل وجّه الهدف لقبول ترتيبات العمل عن بعد الشائعة في مجال Web3. وعند منح القراصنة حق الوصول إلى اللابتوب، لم يحاولوا استغلال ثغرات برمجية، بل ركزوا على بناء صورة الموظف المثالي.

أظهرت هذه اللقطات بوضوح غير مسبوق كيف تتخطى وحدة تشوليما، وهي نخبة الحرب السيبرانية الكورية الشمالية، جدران الحماية التقليدية من خلال التوظيف المباشر عبر أقسام الموارد البشرية بالدول المستهدفة. تشوليما (Chollima) سُميت بذلك نسبة لحصان أسطوري كوري يرمز للسرعة والكفاءة، وتتخصص في استهداف المؤسسات المالية وشركات العملات الرقمية.

في جوهر الأمر، لم يسعوا لاختراق المحافظ مباشرة، بل سعوا لتقديم أنفسهم كأشخاص جديرين بالثقة داخل الشركة للحصول على صلاحيات الوصول إلى المخازن الداخلية ولوحات التحكم السحابية. أجروا اختبارات نظامية للتحقق من العتاد، أدوا مهام تطوير طبيعية، وشاركوا في اجتماعات الفريق، وتصرفوا كموظف عن بُعد ملتزم. هذا الصبر والقدرة على التمويه هما الأخطر، إذ يجعلان اكتشاف التهديدات في المراحل المبكرة شبه مستحيل.

مراحل سلسلة الهجوم الكاملة لقراصنة كوريا الشمالية الستة

إعداد الهوية: سرقة أو شراء وثائق هوية أمريكيين حقيقيين وحسابات LinkedIn

توظيف مدعوم بالذكاء الاصطناعي: استخدام Simplify Copilot وAiApply لإنتاج طلبات ومقابلات مثالية

اجتياز المقابلة: إظهار قدرات تقنية حقيقية وإجادة الإنجليزية

بناء الثقة: أداء متميز ومهني في المهام التطويرية الموكلة بالبداية

زرع بوابة خلفية: ضبط آليات تحكم مستدامة مثل Google Remote Desktop

انتظار الفرصة: التربص بصبر حتى الحصول على صلاحيات أنظمة أو محافظ مالية حساسة

من KYC إلى KYE: تحول جذري في نماذج دفاع الشركات

صعود الهندسة الاجتماعية جلب أزمة مسؤولية حقيقية لصناعة الأصول الرقمية. في وقت سابق من هذا العام، رصدت شركات أمنية مثل Huntress وSilent Push شبكات شركات وهمية مثل BlockNovas وSoftGlide، لديها تسجيلات أمريكية شرعية وملفات LinkedIn موثوقة. استدرجت هذه الكيانات المطورين لتنصيب سكريبتات خبيثة بحجة التقييم الفني.

بالنسبة لمسؤولي الامتثال ومديري أمن المعلومات، تغيرت التحديات. كانت بروتوكولات “اعرف عميلك” (KYC) تركز على العملاء، لكن تدفقات عمل لازاروس تتطلب معايير “اعرف موظفك” (KYE) صارمة. هذا التحول يتطلب من الشركات إعادة التفكير في جميع عمليات التوظيف وإدارة الموظفين.

بدأت وزارة العدل بملاحقة هذه الاحتيالات التقنية، وصادرت ٧.٧٤ مليون دولار مرتبطة بها، لكن معدلات الكشف لا تزال منخفضة للغاية. مبلغ ٧.٧٤ مليون دولار مقارنة بحجم السرقة الإجمالي البالغ ٢.٨٣ مليار دولار لا يمثل سوى رأس جبل الجليد، مما يوضح محدودية الإجراءات العدلية. تنتشر شبكات القراصنة الكوريين الشماليين في عدة دول، وتستغل خاصية إخفاء الهوية والعملات المشفرة العابرة للحدود، ما يجعل التتبع والملاحقة صعبًا للغاية.

كما أوضحت عمليات الاصطياد لدى BCA LTD، قد تكون الطريقة الوحيدة للإيقاع بهؤلاء المجرمين هي الانتقال من الدفاع السلبي إلى الخداع النشط، وخلق بيئات يمكن التحكم بها تجبر المهاجمين على كشف أساليبهم قبل الاستيلاء على الأموال. هذه الاستراتيجية تمثل تحولا كبيرًا في الفكر الأمني السيبراني من بناء الجدران إلى نصب المصائد.

خمس تدابير رئيسية لعمليات KYE في شركات العملات الرقمية

مقابلات فيديو متعددة: إلزام تشغيل الكاميرا، وملاحظة تعابير الوجه وبيئة المتقدم

اختبار قدرات تقنية فوري: اختبارات برمجة مباشرة بدلًا من الاكتفاء بالأعمال السابقة

تحقيق خلفية معمق: التواصل مع أصحاب العمل السابقين، التحقق من المؤهلات، مراجعة تاريخ وسائل التواصل الاجتماعي

منح صلاحيات تدريجي: منح وصول محدود أولًا للأنظمة غير الحساسة، ثم توسعة الصلاحيات تدريجيًا

مراقبة السلوكيات الشاذة: رصد أدوات إخفاء الموقع، أوقات العمل غير المعتادة، وتنصيب أدوات مشبوهة

نجاح استراتيجية المصائد يبين أن الدفاعات التقليدية لم تعد كافية أمام تهديدات سيبرانية على مستوى الدولة. على الشركات أن تكون استباقية، وتنصب أنظمة مصيدة لجذب وتحديد التهديدات المحتملة. عندما يظن القراصنة الكوريون الشماليون أنهم نجحوا في التسلل، يكونون في الواقع عرضة لكشف أدواتهم وتقنياتهم وإجراءاتهم التشغيلية (TTPs)، مما يزود مجتمع الأمن بمعلومات استخباراتية ثمينة عن التهديدات.

من منظور أوسع، تسلط هذه الواقعة الضوء على تحديات أمنية جديدة في عصر العمل عن بُعد. مع تواجد أعضاء الفرق في مناطق متفرقة حول العالم دون لقاء فعلي، تصبح مصداقية الهوية مسألة محورية. صناعة العملات الرقمية، بقيمة أصولها العالية وثقافة العمل عن بُعد السائدة فيها، تُعد هدفًا رئيسيًا لقراصنة كوريا الشمالية. يجب على الشركات الموازنة بين مرونة العمل عن بُعد وتطوير آليات تحقق ومراقبة أكثر صرامة للموظفين.