أعلنت وزارة العدل الأميركية، الإثنين، عن تنفيذ حملة أمنية واسعة استهدفت مخططًا احتياليًا واسع النطاق تقوده كوريا الشمالية لتوظيف عمالة تقنية في شركات أميركية، وذلك في محاولة للالتفاف على العقوبات الدولية المفروضة على بيونغ يانغ. وأسفرت الحملة عن اعتقال أحد المتورطين ومصادرة 29 حسابًا ماليًا، و21 موقعًا إلكترونيًا مزورًا، فضلًا عن نحو 200 حاسوب.
مزارع الحواسيب والمساعدون الدوليون
بين 10 و17 يونيو 2025، نفّذت السلطات الأميركية مداهمات منسقة شملت 21 “مزرعة حواسيب” موزعة على 14 ولاية أميركية، وهي أماكن استخدمها عمال تقنية من كوريا الشمالية للولوج عن بُعد إلى أنظمة شركات أميركية باستخدام حواسيب وفّرتها تلك الشركات نفسها.
وقالت وزارة العدل إن الشبكة شملت مساعدين داخل الولايات المتحدة وخارجها، تحديدًا في الصين والإمارات وتايوان. وقد تمكن هؤلاء العمال من الحصول على وظائف عن بُعد في أكثر من 100 شركة أميركية عبر استخدام هويات مزوّرة أو مسروقة.
ويُعد هذا المخطط أحد المصادر الرئيسية التي تعتمد عليها كوريا الشمالية في تأمين الإيرادات، حيث يستخدم النظام الكوري الشمالي العاملين كواجهة “شرعية” للتسلل إلى أنظمة الشركات وسرقة بيانات حساسة، تشمل تقنيات عسكرية خاضعة للرقابة على التصدير وأصولاً رقمية.
في إحدى الحالات، تمكّن عمال تقنية كوريون شماليون من التوظيف في شركة متخصصة في تطوير تقنية البلوكتشين مقرها أتلانتا، وتمكنوا من سرقة أكثر من 900 ألف دولار من الأصول الرقمية.
اعتقال وتفكيك شبكة التوظيف المزيفة
أحد أبرز التطورات في هذه القضية كان اعتقال المواطن الأميركي جينشينغ “داني” وانغ من نيوجيرسي، بتهمة تنسيق عمليات احتيال على مدى سنوات، حققت من خلالها الشبكة أكثر من 5 ملايين دولار.
ومن بين المتورطين الآخرين، ستة مواطنين صينيين ومواطنان تايوانيان، إضافة إلى شركاء أميركيين آخرين من بينهم كجيا “توني” وانغ. تشير الوثائق إلى أن وانغ سافر إلى الصين في عام 2023 للتنسيق المباشر مع الشركاء الأجانب، حيث تم استخدام أجهزة مثل PiKVM وTinyPilot لتمكين الاتصال عن بُعد بالحواسيب الصادرة عن الشركات.
كما أنشأ وانغ وشريكه شركات وهمية مثل Hopana Tech LLC وTony WKJ LLC وIndependent Lab LLC بمواقع إلكترونية وحسابات مصرفية بهدف الإيهام بأن العاملين يتبعون شركات أميركية حقيقية. وقد تلقى وانغ وشركاؤه ما لا يقل عن 696 ألف دولار مقابل الخدمات التي قدّموها.
عمليات احتيال وتبييض أموال بأسماء كورية شمالية
وفي ولاية جورجيا، وُجّهت تهم غسل أموال واحتيال إلكتروني لأربعة مواطنين كوريين شماليين متورطين في سرقة أكثر من 900 ألف دولار من شركة بلوكتشين في أتلانتا. وتشير التحقيقات إلى أن المتهمين استخدموا وثائق كورية شمالية للسفر إلى الإمارات في 2019، ونجحوا لاحقًا في التسلل إلى شركات تقنية والعمل كطورين، قبل أن يسرقوا أصولاً رقمية ويُبيّضوها عبر خدمة “Tornado Cash” لتحويل العملات المشفّرة.
واستخدم المتهمون هويات ماليزية مزوّرة لفتح حسابات في بورصات العملات الرقمية، وهو ما يُظهر مدى تعقيد الشبكة واحترافيتها.
جهود مايكروسوفت وتعقّب الشبكة
كشفت شركة مايكروسوفت، التي تابعت هذا النشاط منذ عام 2020 تحت اسم “Jasper Sleet”، عن تعطيلها 3000 حساب بريد إلكتروني في Outlook وHotmail استخدمها عمال كوريون شماليون في إطار هذه الشبكة. وتُعرف المجموعة أيضًا بأسماء Nickel Tapestry وWagemole وUNC5267.
وبحسب مايكروسوفت، فإن الشبكة تبدأ بإنشاء هويات وهمية متوافقة جغرافيًا مع الشركات المستهدفة، ثم تدعمها بحسابات على GitHub وسير ذاتية ملفّقة وصور معدّلة باستخدام أدوات الذكاء الاصطناعي، وحتى أصوات مزوّرة لتعزيز مصداقية المتقدمين.
كما يستخدم العاملون الكوريون شبكات VPN وأدوات إدارة عن بعد، بالإضافة إلى مساعدين “عارفين” بمخططهم، لتجاوز فلاتر التحقق من الهوية. وتلعب هذه الأطراف دورًا محوريًا في تمرير وثائق مزوّرة كجزء من إجراءات التحقق الوظيفي، وتشمل رخص قيادة مزيفة وبطاقات ضمان اجتماعي وجوازات سفر.
وطورت مايكروسوفت خوارزمية تعتمد على التعلم الآلي لرصد الحسابات المشبوهة التي تنتهج أساليب معروفة تتبع كوريا الشمالية في عمليات التسلل الإلكتروني.
وحذّر خبراء الأمن السيبراني من أن هؤلاء العاملين لا يقتصر دورهم على جني المال للنظام، بل يُمكنهم بمجرد التوظيف تنفيذ أنشطة خبيثة من داخل أنظمة الشركات، ما يشكّل تهديدًا مباشرًا للأمن القومي الأميركي.
