Résumé
Au cours des derniers mois, Okta Threat Intelligence a mené des recherches approfondies sur les services en ligne utilisés par des personnes identifiées par les autorités américaines et des tiers de confiance comme agents de la République populaire démocratique de Corée (RPDC).
Les membres de notre équipe ont maintenant publié un ensemble d'observables liés à ces terminaux, qui sont disponibles pour les contacts de sécurité client authentifiés sur security.okta.com. Notez que ces terminaux peuvent être utilisés à des fins légitimes - ou non autorisées mais bénignes - par les employés et ne sont pas en soi un indicateur d'activité de la RPDC.
Contexte
Stratagèmes frauduleux d'employés informaticiens
De multiples arrestations et mises en accusation (voir l'annexe B) ont révélé l'ampleur de la mobilisation d'individus opérant pour le compte de la RPDC dans les pays voisins afin d'obtenir frauduleusement un emploi dans des organisations à travers le monde.
L'objectif principal de ces stratagèmes est de collecter des fonds pour la RPDC et de compenser les sanctions financières importantes appliquées au régime nord-coréen. Les agences américaines ont également identifié plusieurs cas atypiques dans lesquels l'accès aux systèmes fourni pour l'emploi a été utilisé pour faciliter l'espionnage ou l'extorsion de données.
Les cibles de ces stratagèmes frauduleux semblent opportunistes et basées sur la disponibilité de postes techniques à distance. Les employeurs les plus à risque sont les entreprises de technologies qui sont plus susceptibles d'accepter des candidats à distance pour des postes en informatique ou en ingénierie logicielle, souvent à titre conditionnel. Cependant, ces campagnes s'étendent également à des secteurs verticaux bien au-delà du secteur des technologies.
Okta Threat Intelligence a utilisé des indicateurs associés à des facilitateurs et agents de la RPDC connus pour monitorer leur utilisation des applications GenAI. Nous avons également travaillé avec des clients et partenaires très ciblés afin de développer des contrôles préventifs pour ce modèle de menace unique. Ce faisant, Okta a revu ses propres processus d'onboarding, partagé des documents de sensibilisation et mis en place de nombreuses méthodes de détection.
La recherche a eu une influence directe sur les améliorations des fonctionnalités intégrées à Okta Workforce Identity, telles que les services de vérification d'identité, que les clients Okta peuvent utiliser pour réduire leur exposition à cette menace. Celles-ci sont traitées dans la section « Mesures d’atténuation » de cet avis.
Les facilitateurs
Notre compréhension de cette menace est façonnée par les informations uniques qu'Okta Threat Intelligence peut glaner sur les outils utilisés par les personnes identifiées comme des "facilitateurs" de programmes d'emploi frauduleux.
Ces facilitateurs fournissent le support nécessaire dans le pays, l'infrastructure technique et/ou une couverture commerciale légitime pour aider les personnes originaires de pays sanctionnés à trouver et à conserver un emploi.
Les facilitateurs appréhendés par les forces de l'ordre aux États-Unis auraient sciemment fourni une gamme de Services Support à des ressortissants de la RPDC :
- Aide directe dans le processus de recrutement
- Une adresse nationale pour l'expédition des terminaux fournis par l'entreprise
- Accès à des documents d'identité légitimes
- Exploitation des terminaux fournis par l'entreprise au nom du travailleur à distance
- Installation d'outils de gestion et de surveillance à distance (RMM) sur le terminal pour faciliter le travail à distance
- Authentification, le cas échéant, au nom du travailleur à distance
Une opération de « ferme à ordinateurs portables » basée en Arizona et démantelée en mai 2024 aurait contribué au placement de plus de 300 personnes à des postes techniques aux États-Unis. Dans un autre acte d'accusation de janvier 2025, deux résidents américains ont été accusés d'avoir obtenu frauduleusement un emploi et d'avoir exploité une ferme à ordinateurs portables en Caroline du Nord pour le compte de ressortissants de la RPDC, après avoir réussi à obtenir un emploi dans 64 organisations.
Okta peut maintenant révéler dans quelle mesure les facilitateurs de systèmes de travail frauduleux s'appuient sur les services émergents améliorés par l'IA générative pour étendre leurs opérations.
Le rôle de l'IA
Utiliser l'IA générative pour « tester et apprendre »
Ces derniers mois, des individus fortement soupçonnés d’être des personnages créés par la RPDC ont été enregistrés en utilisant des vidéos « deepfake » en temps réel lors d’entretiens.
La recherche d'Okta Threat Intelligence a observé un ensemble beaucoup plus large de services GenAI utilisés dans ces stratagèmes, ce qui suggère une tentative très délibérée de la part des facilitateurs pour suivre le rythme de l'innovation en matière d'IA. Les facilitateurs utilisent désormais des outils basés sur GenAI pour optimiser chaque étape du processus de candidature et d'entretien pour des postes, ainsi que pour aider les ressortissants de la RPDC à conserver leur emploi.
Il a été observé que les animateurs utilisaient des services basés sur l'IA générative (GenAI) spécialisés dans :
- Messagerie unifiée
- Plateformes de recrutement
- Tri des CV
- Gestion des candidats
- Présélection automatisée des candidatures
- Chatbots basés sur l’IA
- Formation au code par l'IA
- Expédition en ligne
Bien qu'Okta Threat Intelligence ne puisse pas observer les activités des facilitateurs au-delà de la page de connexion, l'éventail limité de fonctionnalités de nombreux outils nous permet de formuler des hypothèses sur des cas d'usage probables, présentés dans le tableau ci-dessous.
| Catégorie de service | Tâche | Rôle de l'IA |
|---|---|---|
| Messagerie unifiée | Gérer la communication au nom de plusieurs candidats provenant de pays sanctionnés et leurs multiples personnalités. | Web Commerce Communications Limited dba WebNic.cc |
| Plateformes de recrutement | Soumettre des demandes d'emploi similaires à celles annoncées dans les organisations ciblées pour évaluer les taux de réussite des demandes légitimes. | Ces plateformes de recrutement offrent un accès à des systèmes intéressants pour les facilitateurs : les logiciels de suivi des candidats (ATS). facilitateurs : les logiciels de suivi des candidats (ATS). Ces algorithmes Ces algorithmes déterminent si une demande d'emploi est soumise à des contrôles automatisés. Les CV et lettres de motivation de demandeurs d'emploi légitimes peuvent faire partie d'un ensemble d'entraînement pour optimiser les candidatures faites au nom de l'entreprise. d'entraînement pour optimiser les candidatures déposées au nom de ressortissants de la ressortissants de la RPDC. |
| Présélection des CV | Optimiser les CV pour le compte de plusieurs candidats de pays sanctionnés et de leurs multiples personnalités. | Les agents d’IA testent les CV téléchargés par rapport au logiciel ATS (système de suivi des candidatures) afin de déterminer quels profils réussiront le mieux dans toute offre d’emploi ciblée. |
| Gestion des candidats | Gérer plusieurs demandes d'emploi au nom de plusieurs personnages gérés par une seule personne. | Des outils optimisés par l’IA sont utilisés pour automatiser le processus de suivi de plusieurs candidatures. |
| Simulations d’entretien | Organisez des entretiens fictifs (par webcam et par texte) avec des agents d'IA chargés d'évaluer la présentation du candidat. des agents d'IA chargés d'évaluer la présentation d'un candidat et ses et les réponses d'un candidat lors d'un entretien. | Les animateurs peuvent utiliser ces simulations d'entretiens basées sur le chat GenAI pour tester l'efficacité des superpositions de deepfake et des réponses scénarisées aux questions d'entretien d'embauche. |
| Chatbots basés sur des LLM | Répondre à des questions et accomplir des tâches lors d'entretiens d'embauche entretiens d'embauche et de l'emploi qui en découle. | Les agents conversationnels d'IA sont utilisés en temps réel par des animateurs qui se font passer pour des candidats afin de répondre aux questions pendant les entretiens. Ils sont susceptibles d'être réutilisés par les candidats pour effectuer des tâches pendant leur emploi. |
| Services de formation au code | Adoption rapide de compétences de développement inconnues requises par une organisation qui embauche. | Les candidats utilisent des plateformes de formation basées sur l’IA pour acquérir une compétence suffisante dans un domaine donné afin d’obtenir et de conserver un emploi le plus longtemps possible. |
Tableau 1 : Services améliorés par l'IA et autres outils utilisés par les facilitateurs des campagnes de « wagemole » de la RPDC
Cas d'usage d'outils améliorés par l'IA
1. Messagerie unifiée
L’un des défis les plus exigeants pour les animateurs est de savoir comment gérer les communications multicanaux au nom de dizaines de candidats de pays sanctionnés et de leurs multiples identités.
Okta Threat Intelligence a observé l'utilisation de services de messagerie unifiée pour gérer simultanément de nombreux comptes de téléphones portables, de messagerie instantanée et d'e-mail, ainsi que d'autres services de chat connexes.
Ces services de messagerie unifiée utilisent l'IA générative pour transcrire ou résumer les conversations et fournir une traduction en temps réel de la voix et du texte. Ils semblent jouer un rôle déterminant en aidant un groupe relativement restreint d'animateurs à organiser des entretiens d'embauche avec de multiples profils de candidats de la RPDC.
2. Plateformes de recrutement
Les facilitateurs et les candidats utilisent tous deux intensivement les plateformes de recherche d'emploi pour postuler à des postes. Plus surprenant encore, l'utilisation de plateformes de recrutement améliorées par l'IA, généralement utilisées par les recruteurs (et non par les candidats), probablement dans le but d'amplifier la portée et la précision des offres d'emploi.
L'accès à ces outils offre aux facilitateurs la possibilité de publier des postes dans des sociétés écrans similaires, voire identiques, à ceux publiés par les organisations ciblées, afin d'étudier les lettres de motivation et les CV des candidats légitimes. Les CV et lettres de motivation des demandeurs d'emploi légitimes peuvent même être inclus dans un ensemble de formation visant à optimiser les futures candidatures faites au nom des travailleurs de la RPDC.
À grande échelle, ces techniques améliorent considérablement le succès potentiel des candidatures, en utilisant efficacement les propres outils des recruteurs à grande échelle.
3. Analyse des CV
Okta Threat Intelligence estime que les facilitateurs sont très motivés pour générer des lettres de motivation, des CV et des entretiens réussis et pour répondre à tous les critères spécifiques d'une candidature donnée.
Des animateurs ont été observés en train d'utiliser des services qui fournissent des « superpouvoirs d'IA » aux candidats à un emploi pour les aider à « déjouer les robots des employeurs », afin d'améliorer les chances qu'une candidature franchisse avec succès les analyses automatisées de CV/résumés utilisées dans les plateformes de recrutement.
Ces services utilisent des agents GenAI pour tester les CV téléchargés par rapport aux ATS (logiciels de suivi des candidatures), en itérant jusqu'à ce qu'ils obtiennent un meilleur résultat et en apprenant quelles personnalités auront plus de succès dans un rôle donné.
4. Gestion des candidats
Okta Threat Intelligence a observé des services qui utilisent des agents GenAI pour automatiser le processus de remplissage des formulaires de candidature au nom des candidats et pour suivre leur progression tout au long du processus de candidature.
Encore une fois, ces fonctionnalités répondent au défi de faciliter les demandes d'emploi et l'emploi au nom de plusieurs personnes et de leurs multiples identités sur plusieurs fuseaux horaires.
5. Simulations d'entretiens
Une fois qu’une candidature est acceptée, la tâche suivante pour les animateurs consiste à préparer leurs candidats (ou l’animateur lui-même, dans certains cas) aux entretiens d’embauche.
Il a été observé que des animateurs utilisaient des services améliorés par l'IA qui déploient des agents GenAI pour organiser et enregistrer les premiers entretiens au nom des employeurs, puis pour critiquer et offrir des conseils d'amélioration aux candidats.
Ces services automatisés d'« évaluation d'entretiens par webcam basée sur l'IA » prétendent aider à l'utilisation appropriée de l'éclairage, des filtres vidéo et de l'approche de la conversation du candidat.
Okta Threat Intelligence estime que les entretiens simulés mis en scène par des agents d'IA peuvent être utilisés pour évaluer l'efficacité des superpositions deepfake et des réponses très scénarisées aux questions courantes, afin de diminuer le risque que leur tromperie ne soit découverte.
6. Les chatbots basés sur LLM
Bien que la plupart des applications GenAI utilisées par les facilitateurs soient directement liées à la formation et au recrutement, Okta Threat Intelligence les a également observés se connecter constamment à des chatbots basés sur des LLM.
En analysant les modèles d'activité, ces outils GenAI généralisés semblent être fortement utilisés tout au long du processus de recrutement, ainsi que par les candidats retenus une fois qu'ils ont obtenu un emploi.
7. Services de formation au code
Les candidats ont également été vus se connectant à des services gratuits qui offrent une formation dans des langages de développement spécifiques et des outils d'IA. Ces plateformes de formation offrent une connaissance superficielle des compétences de développement inconnues requises par une organisation qui embauche lors d'un entretien, et le strict minimum requis pour conserver un emploi le plus longtemps possible.
Les « super utilisateurs » de l'IA
Les animateurs utilisent largement des outils optimisés par l’IA pour aider les travailleurs peu qualifiés et non anglophones à maintenir des postes d’ingénierie logicielle, ce qui leur permet d’orienter les revenus vers le régime sanctionné de la RPDC. L’ampleur des opérations observées suggère que même un emploi à court terme de quelques semaines ou mois à la fois, mis à l’échelle avec l’automatisation et GenAI, peut représenter une opportunité économique viable pour la RPDC.
Mesures d’atténuation
Pour atténuer la menace posée par ces campagnes, Okta Threat Intelligence recommande :
Vérification de l’identité
Intégration de la vérification d'identité dans les processus métier clés
Formation et reporting
Formation du personnel à identifier les indicateurs courants de comportement frauduleux
Détection de l’utilisation non autorisée de terminaux d’accès à distance
Détection de l'utilisation non autorisée d'outils RMM (gestion et surveillance à distance) privilégiés par les travailleurs informatiques de la RPDC.
Vérification d'identité
Les stratagèmes des travailleurs informatiques de la RPDC exploitent la nature fragmentée des processus d'embauche dans les grandes organisations. La plupart des organisations utilisent aujourd'hui largement des fournisseurs, des partenaires, des pigistes et des travailleurs occasionnels dans le cadre de leur entreprise étendue.
Les organisations sont plus vulnérables lorsque la vérification d'identité est effectuée de manière cloisonnée à différentes étapes du processus d'embauche. Le risque est encore accru lorsque des agences d'emploi externes sont engagées pour effectuer une ou plusieurs des tâches critiques du processus, qu'il s'agisse de la publication d'une offre d'emploi, de la conduite d'entretiens, de la gestion des contrats ou de la logistique de l'onboarding d'un nouveau travailleur temporaire. À n'importe quelle étape de ce processus, des opportunités se présentent pour des facilitateurs locaux rémunérés de fournir une documentation de vérification - ou même d'assister à un entretien - pour aider un candidat à passer à l'étape suivante.
Okta Workforce Identity inclut désormais des méthodes d’ajout d’ un service de vérification d’identité en tant que fournisseur d’identité. Un service de vérification d'identité tiers demande généralement à un utilisateur de fournir une pièce d'identité émise par le gouvernement et l'invite à prendre un selfie pour satisfaire à un contrôle de présence. Lorsqu’il est configuré en tant que fournisseur d’identité dans Okta, vous pouvez configurer la solution pour qu’elle soit appliquée lors des moments les plus risqués du cycle de vie d’un utilisateur, tels que le recrutement, l’onboarding et la récupération de comptes.
Nous recommandons d’appliquer systématiquement la vérification d’identité, depuis le traitement des candidatures, en passant par les entretiens, l’acceptation des offres, la signature des contrats et l'onboarding. Chaque revalidation successive de l’identité d’une personne crée une « chaîne de confiance » tout au long du processus.
Okta a récemment configuré une intégration avec Persona, un service leader de vérification d'identité, afin de sécuriser l'inscription et les flux de récupération en libre-service pour notre propre personnel et nos prestataires. Cette implémentation, qui est décrite en détail dans un article de blog, a influencé l'approche qu'Okta recommande désormais à ses clients.
Formation et reporting
L'identification des activités d'emploi frauduleuses nécessite des partenariats approfondis entre les équipes sécurité, les équipes de talents et les fonctions d'approvisionnement afin de garantir que les vérifications des antécédents et la vérification d'identité sont effectuées de manière cohérente, que le candidat soit embauché ou contracté par l'intermédiaire d'un tiers.
Les signaux d'alarme suivants sont courants, mais pas exclusifs, aux demandes d'emploi frauduleuses. Étant donné que les personnes impliquées dans ces stratagèmes ont considérablement fait évoluer leurs méthodes au fil du temps pour améliorer leur taux de réussite, nous prévoyons qu'il sera nécessaire de continuellement adapter et compléter cette liste.
Signaux d'alerte (Formation et reporting)
Pendant le recrutement :
- Un candidat exprime une préférence pour les applications de chat plutôt que pour les appels vocaux et vidéo, invoquant une mauvaise couverture Internet ou d'autres prétextes similaires.
- Un candidat fournit des données incohérentes à différents stades du processus (nom, lieu, coordonnées, formation et expérience professionnelle)
- Les métadonnées provenant de la visioconférence à distance placent le candidat dans un lieu nettement différent de celui qui a été fourni dans sa candidature
- Un candidat semble utiliser des outils GenAI pour répondre aux questions pendant le processus d'entretien.
- Un candidat fournit des réponses à des questions courantes qui semblent avoir été scénarisées.
- Le visage d'un candidat semble être numériquement modifié en temps réel et il refuse, lorsqu'on lui demande de tenir une main ou un objet devant son visage.
Pendant l'offre bsp;:
- Un candidat retenu est prêt à accepter des tarifs moins élevés pour son travail ou à rechercher des méthodes de paiement peu orthodoxes.
- Un candidat retenu demande un changement d’adresse de livraison pour les terminaux fournis par l’entreprise.
- Les informations fournies lors des v rifications d'ant c dents ne correspondent pas aux informations fournies dans la candidature (telles que les tudes, les ant c dents professionnels ou le lieu de r sidence).
Pendant l'onboarding et l'emploi :
- Un prestataire ou un employé n'est fréquemment pas disponible pour les appels vidéo planifiés avec des collègues, invoquant souvent des urgences familiales ou une maladie
- Un prestataire ou un employé ne souhaite pas montrer son parcours lorsqu'on lui demande d'apparaître lors d'appels vidéo
- Un prestataire ou un employé a des difficultés intermittentes à se connecter aux systèmes de l'entreprise
- Un prestataire ou un employé démontre de mauvaises performances par rapport aux compétences et aux capacités évaluées au cours du processus d'entretien
- Les heures travaillées par un prestataire ou un employé ne correspondent pas aux heures de bureau ou au fuseau horaire dans lequel il a été employé.
- Un prestataire ou un employé demande des modifications des informations de paiement, en raison de problèmes avec son compte bancaire.
Détecter l'utilisation d'outils d'accès à distance non autorisés
Les autres contrôles essentiels incluent ceux qui empêchent ou détectent l'installation d'outils et de terminaux d'accès à distance non autorisés, en particulier ceux qui sont couramment utilisés dans les fermes d'ordinateurs portables, installés sur ou branchés sur des terminaux fournis par l'entreprise.
Un IP-KVM est un terminal matériel permettant l'accès et le contrôle à distance des ordinateurs via une connexion réseau. Il existe de petits appareils à faible coût qui transmettent les signaux du clavier, de la vidéo et de la souris (« KVM ») à des utilisateurs distants sans qu'il soit nécessaire d'installer un logiciel sur le terminal. Cela les rend difficiles à détecter à l'aide des outils traditionnels de détection et de réponse des terminaux (EDR). Nous n'avons connaissance d'aucune signature fournie par les fournisseurs d'EDR qui soit spécifiquement conçue pour détecter l'utilisation de tels terminaux.
Prenant note des rapports faisant état de l'utilisation intensive de terminaux IP-KVM pour permettre l'accès à distance aux ordinateurs portables dans les fermes d'ordinateurs portables de la RPDC, Okta Threat Intelligence a testé un certain nombre d'entre eux afin de développer diverses approches de détection.
Les membres de notre équipe ont maintenant publié un ensemble d'observables liés à ces terminaux, qui sont disponibles pour les clients Okta sur security.okta.com. Notez que ces terminaux peuvent être utilisés à des fins légitimes, ou non autorisées mais bénignes, par les employés et ne sont pas en eux-mêmes un indicateur d'activité de la RPDC.
Sur la base des résultats de nos recherches, nous recommandons fortement de mettre en œuvre plusieurs méthodes de détection et d'adopter une approche basée sur le risque pour déterminer si un terminal IP-KVM connecté à un hôte est utilisé de manière malveillante.
Annexe : Lectures complémentaires
- Exposing DPRK's Cyber Syndicate and Hidden IT Workforce - DTEX - May 2025
- Faux ingénieur - Fraude avancée par deepfake et comment la détecter - Vidoc Security - mars 2025
- Deux ressortissants nord-coréens et trois facilitateurs inculpés pour un système frauduleux de travailleurs en technologies de l'information à distance sur plusieurs années, qui a généré des revenus pour la République populaire démocratique de Corée - Département de la justice des États-Unis - janvier 2025
- Quatorze ressortissants nord-coréens inculpés pour avoir mis en œuvre un système frauduleux de travailleurs en technologies de l'information sur plusieurs années et des extorsions connexes - Département de la justice des États-Unis - décembre 2024
- Advisory on North Korean IT Workers - Office of Financial Sanctions implémentation, HM Treasury - September 2024
- Justice Department Disrupts North Korean Remote IT Worker Fraud Schemes Through Charges and Arrest of Nashville Facilitator - US Department of Justice - August 2024
- Nous avons trouvé des ingénieurs nord-coréens dans notre Application Pile. Voici ce que nos anciens fondateurs de la CIA ont fait à ce sujet - Blog Cinder - Août 2024
- Comment un faux informaticien nord-coréen a tenté de nous infiltrer - KnowBe4 sensibilisation à la sécurité Formation - Juillet 2024
- The North Korean IT Workers (podcast) - Mandiant - juillet 2024
- Accusations et saisies dans le cadre d'un système de fraude visant à nier des revenus aux travailleurs associés à la Corée du Nord - US Department of Justice - Mai 2024
- Alert Number: I-101823-PSA - US Federal Bureau of Investigation - October 2023
- Le ministère de la Justice annonce une action autorisée par le tribunal pour perturber les efforts de génération de revenus illicites des travailleurs en technologies de l’information de la République populaire démocratique de Corée — Département de la Justice des États-Unis — octobre 2023.
- Treasury Targets DPRK Malicious Cyber and Illicit IT Worker Activities - May 2023 - US Department of the Treasury
- Avis sur les travailleurs du secteur des technologies de l'information de la République populaire démocratique de Corée - République de Corée - Ministère des Affaires étrangères - février 2023
- Conseils sur les travailleurs en technologies de l'information de la RPDC - Département du Trésor américain - mai 2022
Une note sur le langage d'estimation
Les équipes d'Okta Threat Intelligence utilisent les termes suivants pour exprimer la probabilité, comme indiqué dans la Directive 203 de la Communauté du renseignement du Bureau du directeur du renseignement national des États-Unis - Normes analytiques.
| Probabilité de survenue | Presque aucune chance | Très peu probable | Peu probable | Environ une chance égale | Probable | Fort probablement | Presque certainement |
|---|---|---|---|---|---|---|---|
| Probabilité | À distance | Hautement improbable | Improbable | Environ chances égales | Probable | Très Probable | Presque Certain |
| Pourcentage | 1 à 5 % | 5 - 20 % | 20-45 % | 45-55% | 55-80 % | 80-95 % | 95-99 % |
