عملاء كوريا الشمالية يستغلون الذكاء الاصطناعي لاختراق شركات الكريبتو: كشف أساليب جديدة لهجوم “الطبقة البشرية”

في تطور خطير يعكس التطور المستمر في عالم الجريمة السيبرانية المدعومة من الدول، كشف باحثون أمنيون مؤخرًا عن كيفية قيام عملاء كوريين شماليين، مرتبطين بمجموعة لازاروس سيئة السمعة، بالتسلل إلى شركات العملات المشفرة الأمريكية. لم يأتِ هذا الاكتشاف من خلال اختراقات تقليدية لجدران الحماية، بل عبر أسلوب أكثر دهاءً وخطورة: الاندماج في فرق العمل باستخدام أدوات التوظيف بالذكاء الاصطناعي والخدمات السحابية المشروعة. لقد تم توثيق هذه العملية المعقدة، التي تكشف عن هجوم “الطبقة البشرية” الجديد، في الوقت الفعلي، مقدمةً نظرة غير مسبوقة على تكتيكات الجيل القادم من السرقة الإلكترونية.

شارك باحثون من BCA LTD و NorthScan ومنصة تحليل البرمجيات الخبيثة ANY.RUN في عملية رصد منسقة أدت إلى كشف هذه الشبكة. تكشف هذه العملية عن تحول جذري في استراتيجيات الهجوم السيبراني، حيث لم يعد الهدف اختراق الأنظمة فقط، بل اختراق الثقة البشرية ذاتها.

فخ العسل: كيف تم الإيقاع بالمتسللين الكوريين الشماليين؟

لفهم الآليات الجديدة التي تتبعها مجموعات مثل لازاروس، قامت فرق الأبحاث بنشر ما يُعرف بـ “فخ العسل” (honeypot). هذا الفخ عبارة عن بيئة مراقبة محكمة التنظيم، متنكرة في هيئة جهاز كمبيوتر محمول خاص بمطور برامج شرعي. الهدف كان إغراء مجموعة لازاروس والكشف عن أساليب عملها.

تُظهر اللقطات والبيانات التي تم جمعها كيف تحاول وحدات كوريا الشمالية، وبالتحديد قسم “Famous Chollima”، تجاوز الدفاعات التقليدية عن طريق استهداف أقسام الموارد البشرية بالشركات المستهدفة. بدأت العملية بإنشاء هوية لمطور افتراضي من قبل الباحثين، وقبول طلب مقابلة من مجند وهمي يُدعى “آرون”. بدلاً من محاولة زرع برامج ضارة فورًا، وجه المجند الوهمي الهدف نحو ترتيب عمل عن بعد، وهو أمر شائع في قطاع Web3 سريع النمو.

عندما منح الباحثون العملاء الكوريين الشماليين إمكانية الوصول إلى “الكمبيوتر المحمول” – الذي كان في الواقع جهازًا افتراضيًا خاضعًا للمراقبة الشديدة ومصممًا لمحاكاة محطة عمل أمريكية – لم يحاول المتسللون استغلال ثغرات في الكود. بدلاً من ذلك، ركزوا على ترسيخ وجودهم كموظفين نموذجيين بشكل ظاهري، وهو ما يمثل تحولًا استراتيجيًا خطيرًا نحو الهندسة الاجتماعية.

بناء الثقة: استراتيجية الاندماج بدلاً من الاختراق المباشر

بمجرد دخول البيئة الخاضعة للرقابة، أظهر العملاء الكوريون الشماليون سير عمل مُحسّنًا للاندماج بدلاً من الاختراق السريع. لقد استخدموا برامج أتمتة الوظائف المشروعة، مثل Simplify Copilot و AiApply، لإنشاء إجابات مقابلة احترافية وتعبئة استمارات الطلبات على نطاق واسع. يُبرز هذا الاستخدام لأدوات الإنتاجية الغربية تصعيدًا مقلقًا، حيث يوضح أن الجهات الفاعلة المدعومة من الدول تستغل تقنيات الذكاء الاصطناعي المصممة لتبسيط عملية التوظيف لقلبها ضد الشركات ذاتها.

كشف التحقيق أن المهاجمين قاموا بتوجيه حركة مرورهم عبر Astrill VPN لإخفاء مواقعهم، واستخدموا خدمات المتصفح للتعامل مع رموز المصادقة الثنائية المرتبطة بهويات مسروقة. لم يكن الهدف النهائي هو التدمير الفوري، بل الوصول طويل الأمد. لقد قام العملاء بتكوين Google Remote Desktop عبر PowerShell باستخدام رمز PIN ثابت، مما يضمن قدرتهم على التحكم في الجهاز حتى لو حاول المضيف إلغاء الامتيازات.

كانت أوامرهم إدارية بحتة، حيث قاموا بتشغيل تشخيصات النظام للتحقق من الأجهزة. أساسًا، لم يحاولوا اختراق أي محفظة عملات مشفرة على الفور. بدلاً من ذلك، سعى الكوريون الشماليون إلى ترسيخ أنفسهم كأشخاص موثوق بهم من الداخل، مما يضعهم في موقع يمكنهم من الوصول إلى المستودعات الداخلية ولوحات معلومات السحابة. هذا النهج يمنحهم فرصة أكبر لجمع معلومات حساسة والتخطيط لهجمات مستقبلية أكثر تدميراً.

مليارات الدولارات: مصدر دخل رئيسي للنظام الكوري الشمالي

هذه الحادثة ليست معزولة، بل هي جزء من مجمع صناعي أكبر حوّل احتيال التوظيف إلى محرك إيرادات أساسي للنظام الكوري الشمالي الخاضع للعقوبات الدولية. قدر فريق مراقبة العقوبات المتعدد الأطراف مؤخرًا أن المجموعات المرتبطة ببيونغ يانغ سرقت ما يقرب من 2.83 مليار دولار من الأصول الرقمية بين عامي 2024 وسبتمبر 2025.

يمثل هذا الرقم، الذي يشكل ما يقرب من ثلث دخل كوريا الشمالية من العملات الأجنبية، دليلًا قاطعًا على أن السرقة الإلكترونية أصبحت استراتيجية اقتصادية سيادية للدولة. لقد ثبتت فعالية هذا النمط من الهجمات، والمعروف بـ “هجوم الطبقة البشرية”، بشكل مدمر في فبراير 2025 خلال اختراق بورصة Bybit. في تلك الحادثة، استخدم مهاجمون منسوبون إلى مجموعة TraderTraitor بيانات اعتماد داخلية مخترقة لإخفاء التحويلات الخارجية كحركات أصول داخلية، مما أدى في النهاية إلى السيطرة على عقد ذكي للمحفظة الباردة. هذا يوضح مدى خطورة هذه الأساليب الجديدة وقدرتها على تحقيق مكاسب مالية هائلة للمهاجمين.

أزمة الامتثال وتحدي “اعرف موظفك”

يخلق التحول نحو الهندسة الاجتماعية أزمة مسؤولية وخطرًا جسيمًا على صناعة الأصول الرقمية بأكملها. في وقت سابق من هذا العام، وثقت شركات الأمن مثل Huntress و Silent Push شبكات من الشركات الوهمية، بما في ذلك BlockNovas و SoftGlide، التي تمتلك سجلات شركات أمريكية صالحة وملفات تعريف موثوقة على LinkedIn. تنجح هذه الكيانات في إقناع المطورين بتثبيت نصوص برمجية ضارة تحت ستار التقييمات الفنية.

بالنسبة لمسؤولي الامتثال وكبار مسؤولي أمن المعلومات، فقد تحول التحدي بشكل جذري. تركز بروتوكولات “اعرف عميلك” (KYC) التقليدية على العميل، لكن أساليب عمل مجموعة لازاروس تتطلب معيارًا صارمًا لـ “اعرف موظفك” (Know Your Employee). هذا يعني ضرورة التحقق من الموظفين المحتملين بنفس الدقة التي يتم بها التحقق من العملاء، خاصة في بيئات العمل عن بعد وقطاع Web3 الذي يعتمد على الثقة.

لقد بدأت وزارة العدل بالفعل في اتخاذ إجراءات صارمة، حيث استولت على 7.74 مليون دولار مرتبطة بهذه المخططات، لكن الفجوة الزمنية بين الهجوم والكشف عنه لا تزال مرتفعة. كما توضح عملية BCA LTD، قد تكون الطريقة الوحيدة للإمساك بهؤلاء الفاعلين هي التحول من الدفاع السلبي إلى الخداع النشط، وإنشاء بيئات تحكم تجبر الجهات الفاعلة على الكشف عن حرفتهم قبل تسليمهم مفاتيح الخزينة.

في الختام، تُعد هذه الاكتشافات بمثابة دعوة للاستيقاظ لصناعة العملات المشفرة والتقنية. لم يعد كافيًا التركيز على أمن الشبكات التقليدي فحسب، بل يجب على الشركات الاستثمار في بروتوكولات صارمة لـ “اعرف موظفك”، وزيادة الوعي بمخاطر الهندسة الاجتماعية، وتبني استراتيجيات دفاعية أكثر استباقية وابتكارًا لمواجهة التهديدات المتطورة من الجهات الفاعلة المدعومة من الدول.