Od kwietnia 2024 r. Amazon uniemożliwił ponad 1800 podejrzanym północnokoreańskim pracownikom dostęp do zdalnych stanowisk informatycznych. Stephen Schmidt, drugi starszy wiceprezes firmy i dyrektor ds. bezpieczeństwa, szczegółowo opisał tę operację w Wpis na LinkedIn pod koniec grudnia 2025 r. Obywatele Korei Północnej będą szukać tych stanowisk w amerykańskich firmach, aby przeznaczać wynagrodzenia na programy zbrojeniowe reżimu. Amazon stosuje badania przesiewowe oparte na sztucznej inteligencji połączone z weryfikacją człowieka w celu wykrycia. Schmidt stwierdził w swoim poście: „Od kwietnia 2024 r. powstrzymaliśmy ponad 1800 podejrzanych agentów z KRLD przed przystąpieniem do pracy i w tym roku wykryliśmy o 27% więcej wniosków powiązanych z KRLD w kwartale do kwartału”. Wzrost ten odzwierciedla ciągłe wysiłki agentów powiązanych z Koreańską Republiką Ludowo-Demokratyczną (KRLD), mające na celu infiltrację zdalnych stanowisk IT w Amazon i innych firmach. Systemy firmy przetwarzają aplikacje na dużą skalę, biorąc pod uwagę jej status jednego z największych pracodawców na świecie. Proces wykrywania integruje modele sztucznej inteligencji z ręcznymi przeglądami. Schmidt wyjaśnił: „Nasze wykrycia łączą kontrolę przesiewową opartą na sztucznej inteligencji z weryfikacją przez człowieka. Nasz model sztucznej inteligencji analizuje połączenia z prawie 200 instytucjami wysokiego ryzyka, anomalie w aplikacjach i niespójności geograficzne. Weryfikujemy tożsamość poprzez weryfikację przeszłości, weryfikację referencji i ustrukturyzowane wywiady”. Na tych etapach sprawdzane są sieci kandydatów, nietypowe wzorce w przesłanych danych oraz rozbieżności w lokalizacji, które pojawiają się podczas zdalnych procesów rekrutacji. Schmidt podkreślił skalę narażenia Amazona na te zagrożenia. Napisał: „Jako CSO jednego z największych pracodawców na świecie mój zespół dostrzega te zagrożenia w skali, jaką robi niewiele organizacji. Daje nam to wyjątkowy wgląd w ewolucję tych operacji i odpowiedzialność za dzielenie się tym, czego się uczymy. ” Taka perspektywa wynika z obsługi ogromnej liczby podań o pracę, co pozwala na identyfikację wzorców niewidocznych dla mniejszych podmiotów. Z biegiem czasu operatorzy udoskonalili swoje podejście. Dokonują kradzieży tożsamości, obierając za cel rzeczywistych inżynierów oprogramowania, których ugruntowane profile zawodowe dodają wiarygodności, a nie osoby o ograniczonym zasięgu w Internecie. Ta zmiana zapewnia bardziej przekonujące życiorysy i historie, które wytrzymują początkową analizę. Taktyka LinkedIn stała się złożona. Agenci przejmują nieaktywne konta, korzystając z naruszonych danych uwierzytelniających, zachowując identyfikatory weryfikacyjne pochodzące z wcześniejszej aktywności. Istnieją sieci, w których właściciele kont wymieniają dostęp w zamian za płatność, co dodatkowo umożliwia podszywanie się pod inne osoby. Metody te wykorzystują funkcje platformy zaprojektowane z myślą o profesjonalnych sieciach. Aplikacje w coraz większym stopniu skupiają się na stanowiskach związanych ze sztuczną inteligencją i uczeniem maszynowym. Takie role wiążą się z dużym popytem w obliczu korporacyjnego wdrażania technologii sztucznej inteligencji, potencjalnie oferując wyższe płace i mniej natychmiastowy nadzór w przypadku zdalnych konfiguracji. Facylitatorzy prowadzą „farmy laptopów” w lokalizacjach w USA. Miejsca te odbierają dostawy sprzętu i symulują obecność w kraju, podczas gdy pracownicy zdalnie kontrolują urządzenia spoza kraju. Takie rozwiązanie pozwala zachować pozory pracy w USA podczas rekrutacji i wdrażania. Twierdzenia edukacyjne ewoluują strategicznie. Wzorce pokazują przechodzenie z uniwersytetów w Azji Wschodniej do instytucji w stanach bez podatku dochodowego, a ostatnio do szkół w Kalifornii i Nowym Jorku. Recenzje Amazon analizują stopnie naukowe uzyskane w programach, które nie są oferowane przez instytucje notowane na giełdzie, lub harmonogramy nie pokrywają się ze standardowymi kalendarzami akademickimi. Subtelne wskaźniki pomagają w wykryciu. Kandydaci formatują numery telefonów w USA, dodając „+1” zamiast po prostu „1”. Sam ten szczegół ma niewielką wagę, ale w połączeniu z innymi sygnałami tworzy profil podejrzanej aktywności. Programy te wykraczają poza Amazon. W czerwcu 2025 r. Departament Sprawiedliwości USA wydał ostrzeżenie. DOJ komunikat prasowy stwierdził: „Departament Sprawiedliwości ogłosił dzisiaj skoordynowane działania przeciwko planom rządu Koreańskiej Republiki Ludowo-Demokratycznej (KRLD), które mają na celu finansowanie jej reżimu poprzez pracę w zakresie technologii informatycznych na odległość na rzecz amerykańskich przedsiębiorstw”. Działania obejmowały dwa akty oskarżenia, ugodę w sprawie informacji i powiązanych zarzutów, jedno aresztowanie, przeszukanie 29 znanych lub podejrzanych farm laptopów w 16 stanach, zajęcie 29 kont finansowych wykorzystywanych do prania nielegalnych funduszy oraz 21 fałszywych stron internetowych.
