ภูมิทัศน์ด้านความปลอดภัยไซเบอร์กำลังเผชิญกับภัยคุกคามที่ไม่เคยมีมาก่อน เมื่อสายลับ เกาหลีเหนือ ใช้ปัญญาประดิษฐ์เป็นอาวุธในการเจาะเข้าสู่บริษัททั่วโลกผ่านแผนการฉ้อโกงการจ้างงานที่ซับซ้อนมากขึ้น รายงานการล่าภัยคุกคามล่าสุดของ CrowdStrike เผยให้เห็นการเพิ่มขึ้นอย่างรวดเร็วของการโจมตีเหล่านี้ โดยอาชญากรไซเบอร์ใช้ประโยชน์จาก AI สร้างสรรค์เพื่อทำให้การดำเนินงานทุกขั้นตอนเป็นอัตโนมัติและมีประสิทธิภาพสูงสุด ตั้งแต่การสร้างตัวตนปลอมไปจนถึงงานประจำวัน
วิธีการโจมตีที่เสริมด้วย AI:
- เทคโนโลยี deepfake แบบเรียลไทม์สำหรับการสัมภาษณ์งานทางวิดีโอ
- แอปพลิเคชันสลับใบหน้าด้วย AI
- การสร้างตัวตนสังเคราะห์
- การติดตามการวิจัยงานและการสมัครงานแบบอัตโนมัติ
- แชทบอท AI สำหรับการสื่อสารในการทำงานประจำวัน
- การสมัครสมาชิกบริการ deepfake แบบพรีเมียม
ขนาดใหญ่ของการแทรกซึมของพนักงาน IT เกาหลีเหนือ
รายงานการล่าภัยคุกคาม 2025 ของ CrowdStrike บันทึกการเพิ่มขึ้นอย่างน่าตกใจ 220% ของบริษัทที่จ้างนักพัฒนาซอฟต์แวร์ เกาหลีเหนือ ในช่วง 12 เดือนที่ผ่านมา บริษัทความปลอดภัยไซเบอร์นี้ปัจจุบันสืบสวนเหตุการณ์ประมาณวันละหนึ่งครั้ง ซึ่งเน้นย้ำถึงลักษณะที่มีผลผลิตสูงของการโจมตีเหล่านี้ บริษัทกว่า 320 แห่งตกเป็นเหยื่อของแผนการฉ้อโกงการจ้างงานนี้ในปีที่ผ่านมาเพียงปีเดียว โดยการดำเนินงานนี้ได้รับการตั้งชื่อว่า Famous Chollima โดยนักวิจัยด้านความปลอดภัย
แผนการนี้แสดงถึงกลยุทธ์การหลีกเลี่ยงการคว่ำบาตรที่ซับซ้อนซึ่งจัดการโดย สาธารณรัฐประชาธิปไตยประชาชนเกาหลี ชายหนุ่มและเด็กชายได้รับการฝึกอบรมด้านเทคนิคที่โรงเรียนชั้นนำในและรอบ ๆ เปียงยาง ก่อนที่จะถูกส่งไปประจำการเป็นทีมละสี่หรือห้าคนไยังสถานที่ต่าง ๆ รวมถึง จีน รัสเซีย ไนจีเรีย กัมพูชา และ สหรัฐอาหรับเอมิเรตส์ สายลับแต่ละคนต้องสร้างรายได้ 10,000 ดอลลาร์สหรัฐ ต่อเดือน ซึ่งมีส่วนทำให้รายได้ประจำปีประมาณ 250-600 ล้านดอลลาร์สหรัฐ นับตั้งแต่ปี 2018 ตามการประมาณการของ สหประชาชาติ
สстатистิกแผนการของ IT Worker เกาหลีเหนือ:
- เพิ่มขึ้น 220% ในบริษัทที่ได้รับผลกระทบในช่วง 12 เดือน
- บริษัทกว่า 320+ แห่งถูกแทรกซึมในปีที่ผ่านมา
- CrowdStrike สืบสวนประมาณ 1 เหตุการณ์ต่อวัน
- รายได้ประจำปี 250-600 ล้านดอลลาร์ สหรัฐฯ ตั้งแต่ปี 2018
- ตัวแทนแต่ละคนต้องหารายได้ 10,000 ดอลลาร์ สหรัฐฯ ต่อเดือน
การหลอกลวงที่ขับเคลื่อนด้วย AI ในทุกขั้นตอน
ปัญญาประดิษฐ์สร้างสรรค์ได้ปฏิวัติประสิทธิภาพของการดำเนินงาน เกาหลีเหนือ ในทุกระยะ สายลับเหล่านี้ใช้ AI เพื่อปลอมแปลงตัวตนสังเคราะห์หลายพันตัว เปลี่ยนแปลงภาพถ่าย และสร้างเครื่องมือที่ซับซ้อนสำหรับการวิจัยงานและการจัดการใบสมัคร ในระหว่างการสัมภาษณ์ พวกเขาใช้เทคโนโลยี deepfake แบบเรียลไทม์เพื่อปกปิดตัวตนที่แท้จริงในการโทรวิดีโอ โดยนักสืบสังเกตเห็นการค้นหาแอปพลิเคชันสลับหน้า AI และการสมัครสมาชิกพรีเมียมสำหรับบริการ deepfake
การรวม AI ขยายไปเกินกว่าระยะการจ้างงานเริ่มต้น เมื่อได้รับการจ้างงานแล้ว พนักงานเหล่านี้พึ่งพา AI chatbot เพื่อจัดการการสื่อสารประจำวัน ร่างอีเมล และตอบกลับในแพลตฟอร์มการส่งข้อความในที่ทำงานเช่น Slack ความช่วยเหลือทางเทคโนโลยีนี้ทำให้การสื่อสารเป็นลายลักษณ์อักษรของพวกเขาดูถูกไวยากรณ์และมีความชำนาญทางเทคนิค ขณะเดียวกันก็ช่วยให้พวกเขาสามารถรักษาตำแหน่งหลายตำแหน่งพร้อมกันได้ การวิจัยของ CrowdStrike ระบุว่าผู้ปฏิบัติการคนเดียวสามารถสัมภาษณ์สำหรับตำแหน่งเดียวกันหลายครั้งโดยใช้บุคลิกสังเคราะห์ที่แตกต่างกัน ซึ่งเพิ่มอัตราความสำเร็จในการจ้างงานอย่างมีนัยสำคัญ
วิวัฒนาการของการดำเนินงาน Laptop Farm
การปราบปรามโดยหน่วยงานบังคับใช้กฎหมาย สหรัฐอเมริกา ได้บังคับให้การดำเนินงานต้องปรับตัวและขยายไปต่างประเทศ คคดีของ Christina Chapman หญิงอายุ 50 ปีจาก Arizona ที่ถูกตัดสินจำคุก 8.5 ปี แสดงให้เห็นขนาดของการดำเนินงานในประเทศ Chapman ดำเนินการ laptop farm จากบ้านของเธอ โดยดูแลแล็ปท็อป 90 เครื่องพร้อมซอฟต์แวร์เข้าถึงระยะไกลที่ช่วยให้พนักงาน เกาหลีเหนือ ได้งาน 309 ตำแหน่ง สร้างรายได้ 17.1 ล้านดอลลาร์สหรัฐ การดำเนินงานนี้บุกรุกตัวตนของชาวอเมริกันเกือบ 70 คน และส่งผลกระทบต่อบริษัทใหญ่ ๆ รวมถึง Nike
เมื่อการดำเนินงานในประเทศเผชิญกับการตรวจสอบที่เพิ่มขึ้น CrowdStrike สังเกตเห็น laptop farm ใหม่ที่เกิดขึ้นทั่ว ยุโรปตะวันตก โดยเฉพาะใน โรมาเนีย และ โปแลนด์ วิธีการยังคงสม่ำเสมอ: นักพัฒนาท้องถิ่นที่สันนิษฐานสัมภาษณ์กับบริษัท ได้รับข้อเสนองาน และมีแล็ปท็อปส่งไปยังที่อยู่ฟาร์มแทนที่จะเป็นที่อยู่อาศัยที่ถูกต้อง ข้อแก้ตัวทั่วไปสำหรับการเปลี่ยนที่อยู่รวมถึงเหตุฉุกเฉินทางการแพทย์หรือครอบครัว กลยุทธ์ที่พิสูจน์แล้วว่ามีประสิทธิภาพในหลายเขตอำนาจศาล
รายละเอียดคดี Christina Chapman :
- หญิงชาว Arizona อายุ 50 ปี ถูกตัดสินจำคุก 8.5 ปี
- ดำเนินการ "ฟาร์มแล็ปท็อป" ด้วยแล็ปท็อป 90 เครื่อง
- ช่วยเหลือแรงงานเกาหลีเหนือให้ได้งาน 309 ตำแหน่ง
- สร้างรายได้ 17.1 ล้านดอลลาร์สหรัฐ
- ขโมยตัวตนชาวอเมริกัน 70 ราย
- Nike เป็นหนึ่งในบริษัทที่ได้รับผลกระทบ
การขยายพื้นผิวการโจมตีผ่าน Enterprise AI
นอกเหนือจากการฉ้อโกงการจ้างงาน แฮกเกอร์เพิ่มการกำหนดเป้าหมายระบบ AI ขององค์กรเอง CrowdStrike ระบุระบบ agentic AI เป็นส่วนหลักของพื้นผิวการโจมตีขององค์กร โดยมีผู้ก่อภัยคุกคามหลายรายใช้ประโยชน์จากช่องโหว่ในเครื่องมือพัฒนา AI agent นี่แสดงถึงการเปลี่ยนแปลงที่สำคัญจากรูปแบบการโจมตีแบบดั้งเดิมที่กำหนดเป้าหมายจุดเข้าของมนุษย์เป็นหลัก
บริษัทความปลอดภัยบันทึกตัวอย่างหลายตัวอย่างของมัลแวร์ที่เสริมด้วย AI รวมถึง Funklocker และ SparkCat ซึ่งทั้งคู่พัฒนาโดยใช้ความสามารถ AI สร้างสรรค์ กลุ่ม Scattered Spider ซึ่งเชื่อว่าประกอบด้วยพลเมือง สหราชอาณาจักร และ สหรัฐอเมริกา แสดงให้เห็นถึงข้อได้เปรียบด้านความเร็วของการโจมตีที่ช่วยเหลือด้วย AI โดยการปรับใช้ ransomware ภายใน 24 ชั่วโมงหลังจากเข้าถึงระบบ แม้จะมีความก้าวหน้าทางเทคโนโลยี CrowdStrike ระบุว่า 81% ของการบุกรุกแบบโต้ตอบยังคงปราศจากมัลแวร์ ยังคงพึ่งพาผู้ปฏิบัติการมนุษย์เพื่อรักษาการลักลอบ
กลยุทธ์การป้องกันและผลกระทบในอนาคต
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำการเปลี่ยนแปลงพื้นฐานในแนวทางความปลอดภัยขององค์กรเพื่อจัดการกับภัยคุกคามที่พัฒนาเหล่านี้ Amir Landau ของ CyberArk สนับสนุนการใช้หลักการแบบทหารที่ต้องรู้ การจำกัดการเข้าถึงของนักพัฒนาเฉพาะทรัพยากรที่จำเป็นเท่านั้น บริษัทควรสร้างนโยบายสิทธิ์ขั้นต่ำพร้อมหน้าต่างการเข้าถึงที่จำกัดเวลาแทนการให้การเข้าถึงระบบแบบไม่จำกัด
กระบวนการตรวจสอบการจ้างงานที่เสริมขึ้นกลายเป็นมาตรการป้องกันที่สำคัญ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ตรวจสอบข้อมูลอ้างอิงอย่างอิสระผ่านฐานข้อมูลสาธารณะแทนข้อมูลติดต่อที่ให้มา และดำเนินการตรวจสอบประวัติอย่างละเอียดเกี่ยวกับข้อมูลส่วนบุคคลที่ดูไม่สอดคล้องกัน Adam Meyers เน้นว่าความระมัดระวังต้องขยายไปเกินกว่าการจ้างงานในประเทศเพื่อรวมถึงกระบวนการสรรหาบุคลากรระหว่างประเทศ
เส้นทางแสดงให้เห็นว่าการป้องกันความปลอดภัยไซเบอร์แบบดั้งเดิมอาจไม่เพียงพอเมื่อความสามารถ AI สร้างสรรค์ก้าวหน้า ตราบใดที่การดำเนินงานเหล่านี้ยังคงมีกำไร สายลับ เกาหลีเหนือ จะยังคงพัฒนากลยุทธ์ของพวกเขาผ่านการเสริม AI สร้างการแข่งขันด้านอาวุธอย่างต่อเนื่องระหว่างผู้โจมตีและผู้ป้องกันในโดเมนความปลอดภัยไซเบอร์