Nordkoreanische Hackergruppen setzen künstliche Intelligenz gezielt ein, um ihre Betrügereien beim Vortäuschen von IT-Positionen zu verfeinern und damit Zugang zu westlichen Unternehmen zu erlangen.
Während Cyberkriminelle weltweit Schwierigkeiten haben, ihre Angriffe sinnvoll mit künstlicher Intelligenz zu verstärken, zeigen nordkoreanische Akteure eine pragmatischere Herangehensweise: Sie nutzen KI-Technologien, um ihre bewährten Betrügereien bei gefälschten IT-Job-Bewerbungen im großen Stil zu optimieren.
Microsoft’s Threat-Intelligence-Team hat in einem aktuellen Report dokumentiert, wie zwei Hackergruppen aus der DPRK – “Jasper Sleet” und “Coral Sleet” – KI auf vielfältige Weise einsetzen, um ihre betrügerischen Kampagnen skalierbar und präziser zu gestalten. Das Ziel: langfristiger, großflächiger Missbrauch von legitimen Zugriffen auf Unternehmensressourcen. Die Angreifer nutzen KI, um glaubwürdige Identitäten zu fabricieren, diese aufrechtzuerhalten und potenzielle Arbeitgeber durch subtile Social-Engineering-Taktiken zu manipulieren.
Obwohl die Taktiken selbst nicht neu sind, bleibt diese Vorgehensweise für Organisationen relevant, da die altbewährten Tricks der Angreifer trotz gestiegener Awareness weiterhin erfolgreich sind.
KI durchdringt jeden Aspekt des Betrugs
Lange bevor ein Unternehmen eine gefälschte Bewerbung erhält, recherchieren die Akteure mit KI-Tools auf Plattformen wie Upwork, welche Jobs sie anvisieren und wie sie sich am wirkungsvollsten bewerben. Sie extrahieren Fachbegriffe aus Stellenanzeigen und identifizieren Anforderungen – Zertifikationen, Skills, Tools – die eine gefälschte Bewerbung authentischer wirken lassen.
Unter Überwindung sprachlicher und kultureller Hürden nutzen Gruppen wie Jasper Sleet große Sprachmodelle, um überzeugende Namen, E-Mail-Adressen und Social-Media-Profile zu generieren. Auch Lebensläufe und Anschreiben werden von Chatbots verfasst.
Die Angreifer kombinieren diese Informationen zu überzeugenden digitalen Personas, die für mehrere Bewerbungen bei verschiedenen Unternehmen wiederverwendbar sind. Teilweise sind diese Personas vollständig KI-generiert – vom Lebenslauf bis zum professionellen Profilfoto. In anderen Fällen nutzt Jasper Sleet kommerzielle Deepfake-Tools wie Faceswap, um ihre Gesichter in gestohlene Ausweisdokumente einzufügen. In Interviews setzen sie zusätzlich Voice-Changing-Software ein.
Nach der Einstellung: KI für Durchhaltevermögen
Nach erfolgreicher Bewerbung wird KI weiterhin benötigt, um die Täuschung aufrechtzuerhalten. Die Angreifer müssen ihre angenommene Rolle glaubwürdig spielen – Aufgaben erfolgreich erfüllen und konsistent über E-Mail und Chat kommunizieren.
Parallel nutzen die nordkoreanischen Akteure KI wie gewöhnliche Geschäftsnutzer: Sie lassen sich bei E-Mail-Antworten helfen, Code-Schnipsel generieren und andere alltägliche Aufgaben unterstützen. Microsoft beobachtet auch Experimente mit autonomen KI-Systemen, die Angriffe teilweise automatisieren könnten – “eine potenzielle Verschiebung hin zu adaptiverer Taktik, die Erkennung und Reaktion erschweren könnte”, schreiben die Forscher.
Von Einnahmen bis zu Spionage
While die primäre Zielsetzung Einnahmen für Nordkoreas Regime sind, bietet der Zugang zu westlichen Unternehmen zusätzliche Möglichkeiten. Groups wie Coral Sleet nutzen KI – teilweise mit “jailbroken” Versionen – um schnell Web-Infrastruktur zu entwickeln, Malware zu generieren und Social Engineering durchzuführen. Besonders bemerkenswert: Sie setzen autonome KI ein, um vollständig automatisierte Angriffsabläufe zu orchestrieren – von gefälschten Unternehmenswebsites über Remote-Infrastruktur-Bereitstellung bis zur Malware-Deployment.
Organisationen schärfen ihre Abwehr
Brian Hussey, Vice President of Cyber Fusion bei Cyderes, sieht in der KI-Integration durch Angreifer eine Reaktion auf gestiegene Wachsamkeit: “Einstellungsteams erkennen mehr dieser Tricks. Viele Unternehmen nutzen nun Verifikationsfragen in Remote-Interviews – etwa zu lokalen Sehenswürdigkeiten oder persönlichen Details, die ein verdeckter nordkoreanischer Operative schwer beantworten kann.”
Hussey verzeichnet eine Abnahme solcher Fälle in den letzten sechs Monaten – ob temporärer Rückgang oder Taktikwechsel, bleibt offen.
Quelle: Dark Reading