Wyobraź sobie, że prowadzisz rozmowę kwalifikacyjną. Wszystko idzie gładko, a potem pada prośba: „Nazwij Kim Dzong Una grubą świnią”. Twój kandydat nagle się rozłącza, a nagranie z Google Meet robi furorę w sieci. To nie jest żart. To realny test, który ma oddzielić zwykłych programistów od agentów jednego z najbardziej izolowanych reżimów na świecie.

Wirusowe nagrania, które ujawniają prawdę

W kwietniu 2026 r. w mediach społecznościowych, zwłaszcza na platformie X, rozeszły się dwa nagrania, które stały się symbolem nowego zagrożenia. Na pierwszym z nich kandydat ubiegający się o pracę w amerykańskiej firmie technologicznej zostaje poproszony o wypowiedzenie obraźliwego zdania pod adresem przywódcy Korei Północnej. Mężczyzna zamiera, a po chwili decyduje, że „życie jest ważniejsze”, i po prostu wychodzi z rozmowy.

Drugie nagranie, udostępnione przez Simona Wijckmansa, pochodzi bezpośrednio z Google Meet – tam kandydat również zastyga w bezruchu i szybko się rozłącza. Te krótkie filmiki to nie żart rekrutera. Stanowią prostą, choć tymczasową metodę weryfikacji.

Dlaczego to działa? Lęk o rodzinę

Reżim w Korei Północnej od pokoleń indoktrynuje swoich obywateli do absolutnej lojalności. Każde publiczne obrażenie Kim Jong Una – nawet za granicą – grozi nie tylko karą dla danej osoby, ale także represjami wobec całej rodziny pozostawionej w kraju. Nawet wytrenowani szpiedzy nie są w stanie podjąć takiego ryzyka.

Jeden taki test trwa kilkanaście sekund, a może uchronić firmę przed stratami sięgającymi milionów dolarów. W erze zdalnej pracy i AI, gdy fałszowanie tożsamości jest łatwiejsze niż kiedykolwiek, takie pytania zyskują na znaczeniu jako szybki filtr.

Masz kreta w firmie? To część ogromnej operacji

To, co widzimy na nagraniach, nie jest kuriozum. To część dobrze zorganizowanej, wieloletniej operacji północnokoreańskiego reżimu, znanej pod nazwami takimi jak WageMole lub Famous Chollima. Działania te ruszyły na szerszą skalę około 2018 r. i zyskały na znaczeniu wraz z rozpowszechnieniem pracy zdalnej.

Reżim w Phenianie wysyła tysiące wykształconych obywateli – najczęściej młodych mężczyzn przeszkolonych w programowaniu – do pracy za granicą lub w warunkach zdalnych. Przedstawiają się jako doświadczeni programiści z USA, Kanady, Europy Zachodniej, Japonii czy Korei Południowej.

Ich celem jest hybrydowe działanie: generowanie twardej waluty dla reżimu ograniczonego sankcjami oraz szpiegostwo przemysłowe. Uzyskują dostęp do wewnętrznych systemów firm, kodu źródłowego, baz danych, a czasem nawet infrastruktury krytycznej. Mogą kraść własność intelektualną i wprowadzać ukryte luki bezpieczeństwa na przyszłość.

Skala problemu budzi poważny niepokój

Według szacunków Organizacji Narodów Zjednoczonych oraz amerykańskich agencji rządowych, program północnokoreańskich pracowników IT generuje dla reżimu od 250 do nawet 600 milionów dolarów rocznie. Pojedynczy taki „pracownik” może zarobić dla siebie i reżimu nawet 300 tysięcy dolarów w ciągu roku, z czego nawet 90 proc. trafia bezpośrednio do budżetu Phenianu.

Liczba fałszywych tożsamości jest trudna do określenia, ale eksperci mówią już o tysiącach aktywnych operacji. Firmy z listy Fortune 500 przyznają, że w wielu przypadkach zatrudniały takich pracowników, zanim udało się ich wykryć. Wzrost liczby incydentów w 2025 r. wyniósł nawet 220 proc. w porównaniu z poprzednim rokiem.

Zagrożenie nie ogranicza się już tylko do Stanów Zjednoczonych. Coraz częściej dotyczy ono także firm europejskich. Startupy, software house’y i międzynarodowe korporacje otrzymują codziennie dziesiątki, a czasem setki podejrzanych aplikacji.

Ewolucja zagrożenia: Sztuczna inteligencja w służbie reżimu

Szczególnie niepokojące jest to, że operacja ewoluuje wraz z technologią. Coraz częściej korzysta się z narzędzi sztucznej inteligencji – do generowania realistycznych awatarów, zmiany głosu, tworzenia deepfake’ów wideo czy automatyzacji odpowiedzi podczas rozmów. To sprawia, że tradycyjne metody weryfikacji stają się mniej skuteczne, a ryzyko infiltracji rośnie.

Reżim opracował cały proces infiltracji z precyzją: od przygotowania fałszywych profili na GitHub i LinkedIn, przez rozmowy kwalifikacyjne z użyciem deepfake’ów, aż po działanie po zatrudnieniu, obejmujące transfery danych i zostawianie „bomb zegarowych” w kodzie.

Jak się bronić? Praktyczne rady dla firm

Na etapie rekrutacji warto szczegółowo analizować profile. Na GitHub czerwoną flagą jest data utworzenia konta późniejsza niż pierwsze commity (tzw. „postarzanie”). Na LinkedIn uwagę powinny przykuwać słabe sieci kontaktów i niespójności. Podczas rozmowy kluczowe jest wymuszenie ludzkiej interakcji – wymaganie włączonej kamery i uważna obserwacja. Po zatrudnieniu należy monitorować adresy IP logowań i nietypowe godziny aktywności.

A co, jeśli ktoś się już wkradł? Najważniejsze jest natychmiastowe, spokojne działanie: ograniczenie dostępu, przegląd logów i zabezpieczenie dowodów. W Polsce sprawę należy zgłosić do Agencji Bezpieczeństwa Wewnętrznego oraz Ministerstwa Finansów.

Infiltracja takiego pracownika nie kończy się na wycieku danych. To także mimowolne finansowanie programu nuklearnego Korei Północnej i poważne zagrożenie dla całej branży technologicznej. To, co zaczyna się od jednego wirusowego nagrania z rozmowy o pracę, może skończyć się katastrofą bezpieczeństwa dla firmy i jej klientów. Nie lekceważ tego zagrożenia.