كشفت محاولة تسلل مشتبه بها لعامل آي تي كوري شمالي إلى وظيفة عن بعد في شركة للأمن السيبراني عن أساليب خبيثة متطورة، منها استخدام هوية مسروقة وسيرة ذاتية تولدها الذكاء الاصطناعي. تم اكتشاف هذه الواقعة في يونيو 2025، ما يسلط الضوء على التحديات المتزايدة في فحص طلبات العمل عن بعد.
تقدم المشغل لشغل منصب “مهندس معماري للذكاء الاصطناعي” زاعماً أنه محترف في فلوريدا يتمتع بخبرة تزيد عن عقد في هذا المجال. نجحت الشركة في إحباط المحاولة، لكنها تركت وراءها أدلة واضحة على طبيعة هذه المخططات.
منذ أوائل عام 2023، تستغل كوريا الشمالية، نظاميًا، العمال المهرة في مجال تقنية المعلومات للتسلل إلى شركات في الولايات المتحدة وغيرها من الدول، حيث ينتحلون صفة عاملين عن بعد مؤهلين. تذهب المبالغ التي يتقاضونها لتغذية برامج أسلحتها، وتستهدف هذه المخططات شركات من جميع الأحجام، بما في ذلك تلك العاملة في قطاعات التكنولوجيا والاستخبارات والأمن السيبراني.
يستخدم المرشحون المزيفون معلومات شخصية مسروقة، وشبكات هواتف عبر الإنترنت (VoIP) لتشابه رموز المناطق، وإنشاء حسابات وبروفايلات وهمية عبر الإنترنت لتعزيز مصداقيتهم. تمكن محللو شركة Nisos من التعرف على المشغل المشتبه به بعد دمج بحث مصادر مفتوحة (OSINT) مع أسئلة مقابلة مدروسة.
تصنيع الهويات المزيفة واستخدام الذكاء الاصطناعي في الاحتيال الوظيفي
أظهرت هذه الحالة كيف قام العامل الكوري الشمالي ببناء هويته المزيفة باستخدام أدوات الذكاء الاصطناعي ولغة الوصف الوظيفي. تضمنت السيرة الذاتية المقدمة قائمة طويلة بشكل غير عادي بالمهارات التقنية، والتي تم استخلاصها بشكل شبه حرفي من إعلان الوظيفة نفسه. هذا النمط يعد تكتيكًا معروفًا لدى عمال تقنية المعلومات الكوريين الشماليين لاجتياز الفلاتر الأولية.
تم توفير عنوان مختلف لتسليم الكمبيوتر المحمول عن العنوان المدرج في السيرة الذاتية، وهو ما يتوافق مع قيام هؤلاء العملاء بإعادة توجيه أجهزة الشركة إلى ما يسمى بـ “مزارع الكمبيوتر المحمول” (laptop farms) لإدارة العمليات عن بعد.
خلال المقابلة الافتراضية، أظهر المشغل سلوكًا مثيرًا للشبهات، بما في ذلك النظر بعيدًا عن الكاميرا، والإجابة بشكل متردد على سؤال تعمد المشرفون طرحه، مما يشير إلى استعانته بمساعد ذكاء اصطناعي. وعندما طُلب منه مشاركة شاشته لعرض أعمال سابقة، أغلق فجأة علامات تبويب المتصفح وأنهى المكالمة.
كشف التحقيق عن ثلاث حسابات سيرة ذاتية مختلفة بنفس الاسم ولكن بمعلومات حول أماكن عمل ودراسة مختلفة، مما يشير إلى أن الهوية كانت جديدة وتم إنشاؤها خصيصًا لهذه الحملة. كما تم التأكد من أن الجهاز انتهى به المطاف في غرفة مع أجهزة كمبيوتر محمولة أخرى صادرة عن شركات مختلفة، جميعها مدارة عن بعد عبر أجهزة PiKVM وخدمة VPN.
تؤكد هذه الحادثة على المخاطر الكبيرة المرتبطة بالتوظيف عن بعد، والتي قد تؤدي إلى سرقة البيانات، وفقدان الملكية الفكرية، وعقوبات تنظيمية، وإلحاق أضرار جسيمة بسمعة الشركة.
توصي الخبراء بتطبيق فحوصات OSINT شاملة لما قبل التوظيف لجميع المرشحين عن بعد، والتحقق من أرقام الهواتف وعناوين IP، وطرح أسئلة مقابلة مستهدفة لا يمكن الإجابة عليها بنصوص معدة مسبقًا، وطلب مشاركة الشاشة المباشرة للأعمال السابقة، ومراقبة الملفات الشخصية المهنية. الشركات التي تفتقر إلى القدرة الداخلية على إجراء هذه الفحوصات يُنصح بالعمل مع شركات استخبارات وتحقيقات مؤهلة.