Amazon a empêché plus de 1 800 agents nord-coréens présumés d'accéder à des emplois à distance dans le domaine des technologies de l'information depuis avril 2024. Stephen Schmidt, deuxième vice-président senior et directeur de la sécurité de l'entreprise, a détaillé cet effort dans un communiqué. Publication LinkedIn fin décembre 2025. Des ressortissants nord-coréens recherchent ces postes dans des entreprises américaines pour canaliser leurs salaires vers les programmes d'armement du régime. Amazon utilise un filtrage basé sur l'IA combiné à une vérification humaine pour la détection. Schmidt a déclaré dans son message : « nous avons empêché plus de 1 800 agents présumés de la RPDC de nous rejoindre depuis avril 2024, et nous avons détecté 27 % de candidatures supplémentaires affiliées à la RPDC d'un trimestre à l'autre cette année. » Cette augmentation reflète les efforts continus des agents affiliés à la République populaire démocratique de Corée, ou RPDC, pour infiltrer les postes informatiques à distance chez Amazon et d'autres entreprises. Les systèmes de l'entreprise traitent un volume élevé de candidatures, compte tenu de son statut d'un des plus grands employeurs au monde. Le processus de détection intègre des modèles d’intelligence artificielle avec des examens manuels. Schmidt a expliqué : « Nos détections combinent un contrôle basé sur l'IA avec une vérification humaine. Notre modèle d'IA analyse les connexions avec près de 200 institutions à haut risque, les anomalies entre les applications et les incohérences géographiques. Nous vérifions les identités grâce à des vérifications des antécédents, des informations d'identification et des entretiens structurés. » Ces étapes examinent les réseaux de candidats, les modèles inhabituels dans les données soumises et les écarts de localisation qui surviennent lors des processus de recrutement à distance. Schmidt a souligné l'ampleur de l'exposition d'Amazon à ces menaces. Il a écrit : « En tant que CSO de l'un des plus grands employeurs au monde, mon équipe voit ces menaces à une échelle que peu d'organisations voient. Cela nous donne une visibilité unique sur la façon dont ces opérations évoluent et la responsabilité de partager ce que nous apprenons. » Cette perspective découle du traitement d’un grand nombre de candidatures, permettant l’identification de modèles non visibles pour les petites entités. Les agents ont affiné leurs approches au fil du temps. Ils se livrent à l’usurpation d’identité en ciblant de véritables ingénieurs logiciels, dont les profils professionnels établis confèrent de la crédibilité, plutôt que des individus ayant une empreinte en ligne limitée. Ce changement fournit des curriculum vitae et des histoires plus convaincantes qui résistent à un examen initial. Les tactiques de LinkedIn sont devenues complexes. Les agents détournent les comptes dormants en utilisant des informations d'identification compromises, préservant ainsi les badges de vérification des activités antérieures. Il existe des réseaux dans lesquels les titulaires de comptes échangent l’accès contre du paiement, permettant ainsi l’usurpation d’identité. Ces méthodes exploitent les fonctionnalités de la plateforme conçues pour les réseaux professionnels. Les applications se concentrent de plus en plus sur les postes d’intelligence artificielle et d’apprentissage automatique. De tels rôles sont très demandés dans le contexte de l'adoption par les entreprises des technologies d'IA, offrant potentiellement des salaires plus élevés et une surveillance moins immédiate dans les configurations à distance. Les animateurs exploitent des « fermes d'ordinateurs portables » aux États-Unis. Ces sites reçoivent des livraisons d'équipements et simulent une présence nationale, tandis que les agents contrôlent les appareils à distance depuis l'extérieur du pays. Cet arrangement préserve l'apparence d'un travail basé aux États-Unis lors de l'embauche et de l'intégration. Les revendications éducatives évoluent de manière stratégique. Les tendances montrent un déplacement des universités d’Asie de l’Est vers des institutions situées dans des États sans impôt sur le revenu, et récemment vers des écoles de Californie et de New York. Les revues d'Amazon examinent les diplômes de programmes non proposés par les établissements répertoriés ou les délais mal alignés sur les calendriers académiques standard. Des indicateurs subtils facilitent la détection. Les candidats formatent les numéros de téléphone américains avec « +1 » au lieu de simplement « 1 ». Ce détail à lui seul a peu de poids mais se combine avec d’autres signaux pour former un profil d’activité suspecte. Ces programmes s’étendent au-delà d’Amazon. En juin 2025, le ministère américain de la Justice a émis un avertissement. Un DOJ communiqué de presse a déclaré : « Le ministère de la Justice a annoncé aujourd'hui des actions coordonnées contre les projets du gouvernement de la République populaire démocratique de Corée du Nord (RPDC) visant à financer son régime par le biais de travaux de technologie de l'information (TI) à distance pour les entreprises américaines. » Les actions comprenaient deux actes d'accusation, un accord d'information et de plaidoyer connexe, une arrestation, des perquisitions dans 29 fermes d'ordinateurs portables connues ou suspectées dans 16 États, la saisie de 29 comptes financiers utilisés pour blanchir des fonds illicites et 21 sites Web frauduleux.
