Severnokorejski informatiki se z ukradenimi identitetami, ponarejenimi življenjepisi in orodji umetne inteligence zaposlujejo v zahodnih podjetjih, plače pa se stekajo v financiranje Pjongjangovega jedrskega programa. Microsoft v pravkar objavljenem poročilu o grožnjah opisuje, kako operativci iz skupin z oznakama Jasper Sleet in Coral Sleet uporabljajo programsko opremo za spreminjanje glasu med video intervjuji, aplikacije za zamenjavo obrazov na ukradenih dokumentih in velike jezikovne modele za pisanje življenjepisov, motivacijskih pisem in ustvarjanje celotnih digitalnih identitet. V letu 2025 je Microsoft blokiral 3.000 računov, ki so jih uporabljali lažni severnokorejski delavci.
Microsoftovi izsledki so najnovejši v vrsti opozoril, ki jih v zadnjem letu objavljajo največja tehnološka podjetja in kibernetske agencije. Googlov oddelek za obveščanje o grožnjah (GTIG) je že v letu 2025 zaznal občuten premik severnokorejskih operativnih skupin proti evropskim delodajalcem, poroča portal Infosecurity Magazine. Preiskovalci so med drugim odkrili ponarejene življenjepise z diplomo beograjske univerze in prijavljenimi naslovi na Slovaškem, pripravljene za prijave na evropskih zaposlitvenih platformah, navaja specializirani portal The Register. Operativci so iskali zaposlitev v Nemčiji in na Portugalskem ter imeli prijavne podatke za uporabniške račune evropskih zaposlitvenih portalov.
Shema po oceni Združenih narodov od leta 2018 prinaša med 250 in 600 milijonov dolarjev letno. Iz sodnih spisov, do katerih je dostopala revija Fortune, izhaja, da je na stotine podjetij s seznama Fortune 500 nevede zaposlilo severnokorejske informatike. Poročilo podjetja za kibernetsko varnost CrowdStrike za leto 2025 navaja, da se je število takšnih primerov v zadnjih 12 mesecih povečalo za 220 odstotkov, operativci pa so se infiltrirali v več kot 320 podjetij. Posamezni delavec mora po navedbah prebežnika zaslužiti vsaj 10.000 dolarjev mesečno, nekateri pa po poročanju Fortune istočasno opravljajo šest ali sedem služb.
Severnokorejski režim že v šolah izbira najsposobnejše učence in jih usmerja na elitne tehniške fakultete v Pjongjangu, kot sta Univerza za tehnologijo Kim Čak in Univerza za znanost v Pjongsongu, navaja Microsoft. Operativce nato v skupinah po štiri ali pet razporedijo v Kitajsko, Rusijo, Kambodžo, Nigerijo ali Združene arabske emirate, od koder se prijavljajo na oddaljene zaposlitve pri zahodnih podjetjih.
Amazon je od aprila 2024 preprečil zaposlitev več kot 1.800 domnevnih severnokorejskih kandidatov, je decembra 2025 v objavi na LinkedInu sporočil glavni varnostni direktor podjetja Steve Schmidt. Število severnokorejskih prijav pri Amazonu po Schmidtovih navedbah narašča za 27 odstotkov vsako četrtletje. Podjetje Okta, ki preverja digitalne identitete, je po poročanju portala The Register spremljalo več kot 130 identitet, vpletenih v to shemo, in jih povezalo z več kot 6.500 zaposlitvenimi intervjuji v več kot 5.000 podjetjih od leta 2021. 27 odstotkov teh podjetij je zunaj Združenih držav.
Premik proti Evropi je po Googlovi oceni posledica okrepljenih pregonov v ZDA. Zvezni organi so v zadnjem letu vložili več obtožnic in izvedli racije na 29 lokacijah v 16 zveznih državah, na katerih so operativci vzdrževali tako imenovane farme prenosnikov, poroča CNN. Na eni sami farmi v Arizoni je 44-letna Američanka Christina Chapman tri leta upravljala omrežje, ki je severnokorejskim operativcem omogočilo zaposlitev v več kot 300 podjetjih in ustvarilo 17 milijonov dolarjev prihodkov. Chapman je priznala krivdo za zaroto z namenom goljufije, krajo identitete in pranje denarja.
V Veliki Britaniji so po ugotovitvah GTIG severnokorejski operativci izvajali projekte spletnega razvoja, verig blokov in aplikacij umetne inteligence. Lažno so se predstavljali kot državljani Italije, Japonske, Malezije, Singapurja, Ukrajine in Vietnama. Preiskovalci so odkrili tudi kontakte posrednika, specializiranega za ponarejanje potnih listov, s katerimi operativci odpirajo bančne račune in dokazujejo pravico do dela v evropskih državah, navaja Infosecurity Magazine.
Plače, ki se stekajo v Pjongjang, niso edina grožnja za delodajalce. Zvezni preiskovalni urad (FBI) je januarja 2025 potrdil, da severnokorejski delavci po odpustitvi izsilijo nekdanje delodajalce z grožnjo objave ukradenih podatkov in izvorne kode, poroča portal Infosecurity Europe. “Ne gre več samo za stabilen dohodek, iščejo večje zneske, hitreje, prek kraje podatkov in izsiljevanja, od znotraj podjetja”, je izjavil Rafe Pilling, direktor za obveščanje o grožnjah pri podjetju Secureworks.
