TokyoBlackHatNews

gbhackers.com 4分で読了

北朝鮮のIT労働者が盗まれたアイデンティティとAI生成履歴書を使用した求人詐欺に関与

最近の調査では、北朝鮮のITワーカーの容疑者が、盗まれたアイデンティティ、AI生成の履歴書内容、およびスクリプト化されたインタビュー回答を使用して、米国を拠点とするサイバー脅威インテリジェンス企業Nisosでシニアのリモート職を確保しようとしたと思われることが明かされています。

本件は、DPRK IT雇用スキームがいかに従来の詐欺と最新のAI技術およびリモートアクセス技術を組み合わせることで進化しているかを示しています。

本人は、盗まれた個人識別情報(PII)、新規作成のメールアドレス、および主張される米国の所在地と一致するように設計されたVoIP電話番号を使用していました。

Nisosによると、本個人は2025年6月にLead AI Architectの職に応募し、フロリダを拠点とするシニアフルスタック開発者かつAIスペシャリストを装っていました

ネットワークインジケーターにより、応募者はAstrill VPN匿名化ネットワークに属していると考えられるIPアドレスに関連付けられました。このサービスは以前、北朝鮮のリモートIT労働者の活動に関連付けられています。

調査官は、履歴書がAIチャットボットによって生成されたか、または大幅に支援された可能性が高いと判断しました。

AI生成の履歴書

このドキュメントは雇用主の独自の職務記述書を反映し、プログラミング言語、エージェンティックAIツール、クラウドプラットフォーム、データベース、およびOSINTツーリングなどのスキルと技術の長いリストを繰り返し、投稿から直接引用しました。

Image

サマリーセクションでも、新興のエージェンティックAI技術の調査と評価に関する言語を再利用しており、本物の経験ではなく自動化されたコンテンツ作成を示唆しています。

仮想面接中、Nisosアナリストは、候補者がリアルタイムで質問に答えるためにAIチャットボットに依存していると疑いました。

操作者は頻繁にカメラから目をそらし、「どのように言えば良いでしょうか?」というフレーズで繰り返し答え始め、スクリプト化されたレスポンスを待つように見えました。

インタビュアーがフロリダの最近の「ハリケーン・ジョージ」(存在しないイベント)についての偽の質問をしたとき、候補者はまだ応答しようとしました。これは、彼が個人的な経験から話すのではなく、一般的なAI生成テキストを読んでいるという疑いを強めました。

雇用前のOSINT調査により、同じ名前に結びつく3つの異なる履歴書プラットフォームプロフィールが発見されました。ただし、それらの場所、大学、および雇用履歴は矛盾していました。

すべてのプロフィールは、実際のフロリダ在住者の実在のアドレスを参照しているように見え、操作者がその人のアイデンティティを盗んだ可能性が高いことを示しています。

Nisosの調査により、ネットワークがこの実際の個人に関する情報を検索し、後に執行機関と被害者通知を調整したことが示されました。

Nisosは申請者が提供したアドレスに企業ラップトップを発送しました。このアドレスは履歴書のアドレスと異なっており、DPRK労働力詐欺で一般的なパターンです。

アクティベーションされると、追跡によってデバイスがその場所に留まったことが示され、内蔵カメラはクローゼット内に「ラップトップファーム」セットアップを多数のラップトップを含んで明かしました。

デバイスへのアクセスにより、ステルスキーボード・ビデオ・マウスコントロールに使用されるRaspberry PiベースのPiKVMハードウェアが明かされました。このハードウェアは、リモート操作者が典型的なエンドポイント検出メカニズムを回避しながら、物理的に存在するかのように複数の企業マシンを管理できるようにしています。

ネットワークはまた、これらのデバイス間に暗号化されたプライベートネットワークを構築するためにTailscaleというメッシュVPNサービスを使用し、ポイント・ツー・ポイント接続を介したリモートコマンド実行とデータ流出を可能にしました。

Nisosはネットワーク上で約40のデバイスを識別し、約20がラップトップファームの一部であると考えられ、各々は異なる企業の異なる従業員アイデンティティに結びついています。

研究者らは、このモデルがDPRK IT労働者が秘密裏に外国通貨を稼ぎ、世界中の機密企業データにアクセスすることを許可していると警告しています。

Nisosは、企業が雇用前のOSINTスクリーニング、アイデンティティとポートフォリオの検証、およびスクリプト化されたまたはAI支援の回答を公開できるより深い技術面接を使用してリモート採用コントロールを強化すべきであると強調しています。

これらの対策なしに、組織はDPRKにリンクされた請負業者を無意識のうちにオンボードするリスクがあり、知的財産盗難、データ侵害、および規制上の露出のための開口部を作成しています。

翻訳元: https://gbhackers.com/resume-in-job-scam/

ソース: gbhackers.com
#AI生成コンテンツ #VPN悪用 #アイデンティティ盗難 #ラップトップファーム #リモート採用セキュリティ #企業セキュリティ #北朝鮮 #採用詐欺 #脅威インテリジェンス #遠隔操作技術

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚