Amazon heeft sinds april 2024 meer dan 1.800 vermoedelijke Noord-Koreaanse medewerkers uitgesloten van banen in de informatietechnologie op afstand. Stephen Schmidt, de tweede senior vice-president en chief security officer van het bedrijf, heeft de inspanningen gedetailleerd beschreven in een LinkedIn-bericht eind december 2025. Noord-Koreaanse onderdanen zoeken deze posities bij Amerikaanse bedrijven om de lonen naar de wapenprogramma's van het regime te sluizen. Amazon maakt gebruik van AI-aangedreven screening in combinatie met menselijke verificatie voor detectie. Schmidt verklaarde in zijn bericht: “We hebben sinds april 2024 meer dan 1.800 vermoedelijke Noord-Koreaanse agenten ervan weerhouden zich aan te sluiten, en we hebben dit jaar kwartaal na kwartaal 27% meer aan de Noord-Korea gelieerde aanvragen ontdekt.” Deze stijging weerspiegelt de voortdurende inspanningen van medewerkers die banden hebben met de Democratische Volksrepubliek Korea (DPRK) om te infiltreren in externe IT-functies bij Amazon en andere bedrijven. De systemen van het bedrijf verwerken aanvragen in hoog volume, gezien de status van het bedrijf als een van de grootste werkgevers ter wereld. Het detectieproces integreert kunstmatige intelligentiemodellen met handmatige beoordelingen. Schmidt legt uit: “Onze detecties combineren AI-aangedreven screening met menselijke verificatie. Ons AI-model analyseert verbindingen met bijna 200 risicovolle instellingen, afwijkingen in applicaties en geografische inconsistenties. We verifiëren identiteiten door middel van antecedentenonderzoek, verificatie van inloggegevens en gestructureerde interviews.” Deze stappen onderzoeken de netwerken van sollicitanten, ongebruikelijke patronen in ingediende gegevens en locatieverschillen die ontstaan tijdens wervingsprocessen op afstand. Schmidt benadrukte de omvang van de blootstelling van Amazon aan deze bedreigingen. Hij schreef: “Als CSO van een van 's werelds grootste werkgevers ziet mijn team deze bedreigingen op een schaal die maar weinig organisaties zien. Dat geeft ons uniek inzicht in hoe deze activiteiten zich ontwikkelen en een verantwoordelijkheid om te delen wat we leren.” Dit perspectief komt voort uit het verwerken van grote aantallen sollicitaties, waardoor patronen kunnen worden geïdentificeerd die niet zichtbaar zijn voor kleinere entiteiten. Agenten hebben hun aanpak in de loop van de tijd verfijnd. Ze plegen identiteitsdiefstal door zich te richten op echte software-ingenieurs, wier gevestigde professionele profielen geloofwaardigheid verlenen, in plaats van individuen met een beperkte online voetafdruk. Deze verschuiving levert overtuigender cv’s en geschiedenissen op die bestand zijn tegen aanvankelijk onderzoek. LinkedIn-tactieken zijn complex geworden. Medewerkers kapen slapende accounts met behulp van gecompromitteerde inloggegevens, waardoor verificatiebadges van eerdere activiteiten worden bewaard. Er bestaan netwerken waar accounteigenaren toegang uitwisselen tegen betaling, waardoor nabootsing van identiteit verder mogelijk wordt gemaakt. Deze methoden maken gebruik van platformfuncties die zijn ontworpen voor professioneel netwerken. Toepassingen richten zich steeds meer op kunstmatige intelligentie en machine learning-posities. Er is veel vraag naar dergelijke functies vanwege de adoptie door bedrijven van AI-technologieën, wat mogelijk hogere lonen en minder direct toezicht biedt bij opstellingen op afstand. Facilitators exploiteren 'laptopboerderijen' op locaties in de VS. Deze locaties ontvangen apparatuurverzendingen en simuleren binnenlandse aanwezigheid, terwijl agenten de apparaten op afstand bedienen vanuit het buitenland. Deze regeling handhaaft de schijn van in de VS gevestigd werk tijdens de aanwerving en onboarding. Educatieve claims evolueren strategisch. Patronen laten verschuivingen zien van Oost-Aziatische universiteiten naar instellingen in staten zonder inkomstenbelasting, en recentelijk naar scholen in Californië en New York. Amazon-recensies onderzoeken diploma's van programma's die niet worden aangeboden door beursgenoteerde instellingen of tijdlijnen die niet zijn afgestemd op standaard academische kalenders. Subtiele indicatoren helpen detectie. Aanvragers formatteren Amerikaanse telefoonnummers met ‘+1’ in plaats van simpelweg ‘1’. Dit detail alleen heeft weinig gewicht, maar vormt samen met andere signalen een profiel van verdachte activiteiten. Deze plannen reiken verder dan Amazon. In juni 2025 gaf het Amerikaanse ministerie van Justitie een waarschuwing. Een DOJ persbericht verklaarde: “Het ministerie van Justitie heeft vandaag gecoördineerde acties aangekondigd tegen de plannen van de regering van de Democratische Volksrepubliek Noord-Korea (DPRK) om haar regime te financieren via informatietechnologie (IT) op afstand voor Amerikaanse bedrijven.” De acties omvatten twee aanklachten, een informatie- en aanverwante schikking, één arrestatie, huiszoekingen van 29 bekende of vermoedelijke laptopboerderijen in 16 staten, inbeslagname van 29 financiële rekeningen die worden gebruikt om illegale fondsen wit te wassen, en 21 frauduleuze websites.
