كشفت تقارير حديثة عن استخدام مجموعات تهديد سيبراني مرتبطة بكوريا الشمالية لأدوات الذكاء الاصطناعي لتسريع وتوسيع نطاق مخططات التوظيف عن بعد في الشركات العالمية. يسلط هذا التطور الضوء على تزايد تعقيد التكتيكات المستخدمة لإنشاء شخصيات رقمية مزيفة لتحقيق أهداف خبيثة.
وفقًا لتحليل صادر عن مايكروسوفت، تعمل خدمات الذكاء الاصطناعي كـ “مضاعف للقوة” للمهاجمين، حيث تعزز وتؤتمت جهودهم في البحث عن الأهداف، وتطوير الموارد الخبيثة، واكتساب الوصول والحفاظ عليه، وتجنب الكشف، وتسليح الأدوات للهجمات والأنشطة اللاحقة للاختراق. ويمثل هذا تطوراً مقلقاً في طبيعة التهديدات السيبرانية.
الذكاء الاصطناعي يعزز عمليات كوريا الشمالية السيبرانية
تشير المعلومات إلى أن ثلاث مجموعات تتبعها مايكروسوفت، وهي Coral Sleet و Sapphire Sleet و Jasper Sleet، تستفيد حاليًا من الذكاء الاصطناعي لتقصير الوقت اللازم لإنشاء شخصيات رقمية مصممة خصيصًا لأسواق العمل والأدوار المستهدفة. غالبًا ما تستخدم هذه المجموعات الفرص المالية أو إغراءات المقابلات الوظيفية كوسيلة أساسية لاكتساب الوصول.
وتحديداً، تستخدم مجموعة Jasper Sleet أدوات الذكاء الاصطناعي التوليدي للبحث في إعلانات الوظائف على منصات مثل Upwork، وتحديد المهارات المطلوبة أو متطلبات الخبرة، بما يتماشى مع الشخصيات المزيفة الموجهة للأدوار المستهدفة، بحسب ما ورد في تقرير مايكروسوفت.
من جهة أخرى، حذر الباحثون من أن مجموعات التهديد تعمل على “تحسين كبير في نطاق وتعقيد عمليات الهندسة الاجتماعية والوصول الأولي” من خلال إنشاء وسائط مدعومة بالذكاء الاصطناعي لعمليات انتحال الهوية وتعديل الصوت في الوقت الفعلي. هذا يسمح بإنشاء حملات تصيد أكثر إقناعًا وتخصيصًا.
وقد استغلت مجموعات التهديد الكورية الشمالية خدمات الذكاء الاصطناعي هذه لتوليد رسائل إغراء تحاكي الاتصالات الداخلية بعدة لغات بطلاقة طبيعية. هذا المستوى من التخصيص يزيد من احتمالية النجاح.
وتتيح هذه التقنيات الجهات الفاعلة في مجال التهديد صياغة رسائل إغراء وشخصيات مقنعة ومصممة خصيصًا بسرعات وحجم غير مسبوقين، مما يقلل من حاجز شن الهجمات المعقدة ويزيد من احتمالية الاختراق الناجح، بحسب ما كتبه الباحثون في التقرير.
كما لاحظت مايكروسوفت استخدام مجموعة Jasper Sleet لتطبيق AI Faceswap لإدراج وجوه العاملين في مجال تكنولوجيا المعلومات الكوريين الشماليين في وثائق هوية مسروقة، وفي بعض الحالات، تم إعادة استخدام نفس الصورة التي تم إنشاؤها بواسطة الذكاء الاصطناعي عبر شخصيات متعددة. وهذا يعزز من قدرتها على التخفي.
استخدامات الذكاء الاصطناعي بعد الاختراق
تعمل مجموعة Jasper Sleet أيضًا على تعزيز التواصل المدعوم بالذكاء الاصطناعي بعد نجاح توظيف أحد العملاء من قبل منظمة الضحية، وذلك لتجنب الكشف والحفاظ على التوظيف طويل الأمد. لاحظت مايكروسوفت قيام العاملين عن بعد في مجال تكنولوجيا المعلومات من كوريا الشمالية بتوجيه أدوات الذكاء الاصطناعي لصياغة استجابات مهنية، أو الإجابة على أسئلة تقنية، أو إنشاء مقاطع برمجية لتلبية توقعات الأداء في بيئات غير مألوفة.
علاوة على ذلك، تستخدم مجموعات التهديد الكورية الشمالية الذكاء الاصطناعي لتحسين الأنشطة السابقة بعد الاختراق، مما يقلل من الوقت والخبرة المطلوبة لاتخاذ القرارات. تسرع هذه المهام المدعومة بالذكاء الاصطناعي تحليلات البيئات المخترقة غير المألوفة، وتحدد المسارات الممكنة للحركة الجانبية، وتمكن العملاء من الاندماج مع النشاط المشروع.
كما تستخدم هذه التكتيكات لتصعيد الامتيازات، والعثور على السجلات أو بيانات الاعتماد الحساسة وسرقتها، وتقليل مخاطر الكشف من خلال تحليل الضوابط الأمنية.
بينما يتكون معظم النشاطات التهديدية التي تتضمن الذكاء الاصطناعي من الذكاء الاصطناعي التوليدي، أشارت مايكروسوفت إلى وجود انتقال نحو الذكاء الاصطناعي الوكيل (agentic AI). يمثل هذا التحول للجهات الفاعلة في مجال التهديد تغييرًا مهمًا في أساليب العمل.
يمكن أن يؤدي ذلك إلى تمكين سير عمل شبه مستقل يعمل على تحسين حملات التصيد بشكل مستمر، واختبار البنية التحتية وتكييفها، والحفاظ على الاستمرارية، أو مراقبة المعلومات المفتوحة المصدر بحثًا عن فرص جديدة. ومع ذلك، لم تلاحظ مايكروسوفت بعد استخدام واسع النطاق للذكاء الاصطناعي الوكيل من قبل الجهات الفاعلة في مجال التهديد، ويرجع ذلك إلى حد كبير إلى القيود الحالية المتعلقة بالموثوقية والتشغيل. لكن التجارب توضح الإمكانات التي تشكلها أنظمة الذكاء الاصطناعي الوكيل للأنشطة الأكثر تقدمًا وضرراً.