Das US-Finanzministerium hat über das Office of Foreign Assets Control (OFAC) Sanktionen gegen sechs Personen und zwei Unternehmen verhängt, die an einem umfangreichen Programm zur Nutzung nordkoreanischer IT-Arbeiter beteiligt sein sollen. Nach Angaben der US-Behörden dient dieses Netzwerk dazu, Unternehmen in den USA und weltweit zu täuschen und die so erzielten Einnahmen heimlich in die Raketen- und Nuklearprogramme Nordkoreas umzuleiten.
Nordkoreanische IT-Arbeiter als verdeckte Cyber-Operation
Im Zentrum steht ein mehrstufiges Betrugsschema, das in der Forschung unter Bezeichnungen wie Coral Sleet / Jasper Sleet, PurpleDelta oder Wagemole geführt wird. Nordkoreanische IT-Spezialisten bewerben sich dabei als scheinbar legitime Remote-Entwickler, Administratoren oder Analysten bei westlichen Firmen – jedoch unter gestohlenen Identitäten, gefälschten Dokumenten und künstlich erzeugten Online-Profilen.
Gelingt die Einstellung, erhalten diese „Mitarbeiter“ regulären Zugriff auf Systeme, Quellcode und Unternehmensdaten. Ein erheblicher Teil der Vergütung wird anschließend über verschleierte Zahlungswege in die Demokratische Volksrepublik Korea transferiert – und damit trotz bestehender UN- und US-Sanktionen zur Finanzierung von Programmen für Waffen massiver Zerstörung genutzt. UN-Experten schätzen, dass nordkoreanische Cyberaktivitäten jährlich Hunderte Millionen US-Dollar einbringen.
Von Gehaltsbetrug zu Datendiebstahl und Erpressung
Die Aktivitäten beschränken sich laut Sicherheitsforschern nicht nur auf verdeckte Einkommensströme. In einzelnen Fällen setzen die Operatoren zusätzlich Malware ein, um geistiges Eigentum, personenbezogene Daten oder vertrauliche Geschäftsinformationen zu entwenden. Diese Informationen werden anschließend für Erpressungsversuche, industrielle Spionage oder zur Vorbereitung weiterer Angriffe genutzt.
Da die Angreifer als legitim eingestellte Mitarbeitende auftreten, verschiebt sich das Bedrohungsmodell: Es handelt sich weniger um einen klassischen externen Angriff, sondern um ein Insider-Risiko mit langfristigem, vertrauensbasiertem Zugang. Unternehmen müssen daher verstärkt den Missbrauch regulärer Accounts, ungewöhnliche Zugriffszeiten, auffällige Datenabflüsse und untypische Anmeldeorte überwachen.
VPN-Infrastruktur, China als Operationsbasis und verschleierte Herkunft
Bessere Konnektivität in China und Umgehung von Geolokation
Eine Analyse des Sicherheitsanbieters LevelBlue zeigt, dass viele dieser IT-Arbeiter nicht direkt aus Nordkorea, sondern von Standorten in China operieren. Gründe sind vor allem eine stabilere Internetinfrastruktur und der Zugang zu VPN-Diensten, die sowohl die chinesische Zensur als auch geografische Sperren umgehen. Besonders hervorgehoben wird Astrill VPN, mit dessen Hilfe Datenverkehr über US-basierte Exit-Knoten geleitet werden kann.
Dadurch erscheinen die Angreifer in Logdaten häufig als Benutzer aus den USA oder anderen westlichen Ländern. LevelBlue dokumentierte etwa einen Fall, in dem ein vermeintlicher Salesforce-Spezialist als Remote-Kraft eingestellt wurde. Innerhalb von nur zehn Tagen bemerkte das Unternehmen jedoch konsistente Logins aus China und entzog den Zugriff – ein Beispiel dafür, wie Geolokationsanalyse verdächtige Aktivitäten aufdecken kann.
Gestohlene Accounts und verschleierte Kommando-Infrastruktur
Untergruppen der berüchtigten Lazarus Group, darunter „Contagious Interview“, nutzen diese Infrastruktur, um unbeschränkt auf den globalen Internetverkehr zuzugreifen, Command-and-Control-Server zu betreiben und das tatsächliche Ursprungsland zu verschleiern. Oft kommen dabei zusätzlich gestohlene oder gemietete westliche Online-Accounts zum Einsatz, um Zahlungsströme, Code-Repositories und Kommunikationskanäle scheinbar unauffällig zu halten.
Künstliche Intelligenz als Beschleuniger nordkoreanischer Cyberangriffe
Digitale Identitaeten, Deepfakes und gefälschte Dokumente
Nach Analysen von Microsoft setzen Jasper Sleet und verwandte Gruppen künstliche Intelligenz (KI) über den gesamten Angriffszyklus hinweg ein. KI-Modelle unterstützen bei der Auswahl passender Stellenanzeigen, beim Formulieren von überzeugenden Bewerbungen und beim Aufbau konsistenter Online-Personas. Mithilfe von Tools wie Faceswap werden Gesichter nordkoreanischer Operatoren in gestohlene Ausweisdokumente montiert oder professionelle Profilbilder für Lebensläufe und soziale Netzwerke erzeugt.
Agentenbasierte KI, Malware-Generierung und Jailbreaks
Berichte von Microsoft, Flare und IBM X-Force belegen den Einsatz sogenannter agentenbasierter KI-Werkzeuge, die wiederkehrende Aufgaben automatisieren: vom Erstellen und Aktualisieren von Schadcode über das Generieren gefälschter Stellenanzeigen und Unternehmensseiten bis hin zu täuschend echten Phishing-Mails und Support-Chats. In einigen Fällen gelingt es den Akteuren, große Sprachmodelle zu „jailbreaken“, also eingebaute Sicherheitsmechanismen zu umgehen, um Unterstützung bei der Entwicklung schädlicher Komponenten zu erhalten.
Zur Koordination ihrer Aktivitäten greifen die Gruppen bewusst auf einfache, schwer auffällige Tools zurück: Tabellen zur Nachverfolgung von Bewerbungen, IP Messenger (IPMsg) für dezentrale Kommunikation im internen Netzwerk sowie Google Translate, um Stellenbeschreibungen, E-Mail-Verkehr und Antworten auf Dienste wie ChatGPT zu übersetzen und anzupassen.
So koennen Unternehmen das Risiko durch nordkoreanische IT-Arbeiter reduzieren
Angesichts dieser Entwicklungen sollten Organisationen Remote-Arbeit und Outsourcing konsequent als potenzielles Einfallstor für staatlich gesteuerte Cyberoperationen betrachten. Empfohlen werden eine strikte Identitätsprüfung für externe und freiberufliche Mitarbeitende, regelmäßige Re-Validierung von Unterlagen sowie die Nutzung von Sanktions- und OFAC-Screening-Listen bei der Auswahl von Dienstleistern.
Technisch sind Multi-Faktor-Authentifizierung, Least-Privilege-Zugriffsmodelle, feingranulare Rechteverwaltung und ein kontinuierliches Monitoring von VPN-Verbindungen, Geolokationsanomalien und Datenbewegungen entscheidend. Security-Teams sollten insbesondere auf ungewöhnliche Login-Muster (z.B. „Impossible Travel“), stille, lang andauernde Aktivitäten und unerklärliche Datenabzüge achten. Ergänzend erhöhen Sensibilisierungstrainings für HR, Fachbereiche und Führungskräfte die Chance, verdächtige Profile und Inkonsistenzen in Bewerbungsunterlagen frühzeitig zu erkennen.
Unternehmen, die Remote-Work als festen Bestandteil ihres Geschäftsmodells etabliert haben, sollten ihre Sicherheitsstrategie konsequent an das Szenario „kompromittierter, aber formal legitimer Nutzeraccount“ anpassen. Wer jetzt in robuste Identitätsprüfungen, technische Überwachung und klare Prozesse für den Umgang mit Insider-Verdachtsfällen investiert, reduziert nicht nur das Risiko durch nordkoreanische IT-Arbeiter, sondern stärkt insgesamt seine Cyber-Resilienz gegenüber zunehmend KI-gestützten Angriffsoperationen.
