Nach Darstellung von Microsoft gibt es im Ablauf einer IT-Worker-Betrugskampagne keine Phase, die nicht von KI berührt oder sogar erst ermöglicht wird. Lange bevor ein Unternehmen einen gefälschten Lebenslauf erhält, recherchieren die Akteure mit KI-Werkzeugen jene Stellen, auf die sie es auf Plattformen wie Upwork abgesehen haben, und wie sie sich am wirksamsten bewerben. Sie lassen sich nützliche Fachbegriffe aus Stellenanzeigen herausziehen und identifizieren Anforderungen wie Zertifikate, Fähigkeiten oder Werkzeuge, die eine gefälschte Bewerbung glaubwürdig erscheinen lassen.
Um die sprachliche und kulturelle Lücke zu überbrücken, lassen sich Akteure einer Gruppe wie Jasper Sleet von großen Sprachmodellen (LLM) glaubwürdig wirkende Namen, E-Mail-Adressen und Profilnamen für soziale Netzwerke vorschlagen. Auch Lebensläufe und Anschreiben entstehen mit Chatbots. Aus all diesen Bausteinen entstehen überzeugende digitale Personas, die wiederholt für Bewerbungen bei verschiedenen Arbeitgebern verwendet werden können.
Manche dieser Personas sind vollständig KI-generiert – vom Lebenslauf bis zum geschönten Porträtfoto. In anderen Fällen setzte Jasper Sleet die kommerzielle Gesichtstausch-App Faceswap ein, um eigene Gesichter in gestohlene, echte Ausweisdokumente einzufügen. In Bewerbungsgesprächen ergänzten die Akteure die gefälschten Bilder durch Software zur Stimmverfremdung.
Mit der Anstellung beginnt erst die erste Phase. KI bleibt auch dann unverzichtbar, wenn die falschen IT-Kräfte tatsächlich arbeiten müssen – etwa um die übernommene Rolle und den erwarteten Tonfall über E-Mail- und Chat-Kanäle hinweg konsistent zu halten und gestellte Aufgaben zu erledigen. In vielerlei Hinsicht nutzen die DPRK-Akteure KI wie ein gewöhnlicher Geschäftsanwender: zum Beantworten von E-Mails, zum Erzeugen von Code-Schnipseln und für zahllose kleine Aufgaben. Microsoft beobachtete zudem Experimente mit agentenbasierter KI.
“Auch wenn dies noch nicht in großem Umfang beobachtet wurde und durch Zuverlässigkeit und operatives Risiko begrenzt ist, deuten diese Bemühungen auf eine mögliche Verschiebung hin zu anpassungsfähigerem Vorgehen, das Erkennung und Reaktion erschweren könnte”, schreiben die Forscher.
Erste Priorität jeder Kampagne ist die Einnahmenbeschaffung für das Regime Kim Jong-uns; das Ausnutzen des Insider-Zugangs zu westlichen Organisationen ist ein willkommener Zusatz. Akteure wie Coral Sleet nutzen KI – und umgehen teils deren Schutzmechanismen –, um rasch Web-Infrastruktur aufzubauen, Malware zu erzeugen und zu verfeinern sowie Social Engineering zu unterstützen. Coral Sleet setzt agentenbasierte KI auch ein, um einen vollständig automatisierten Angriffsablauf zusammenzusetzen: gefälschte Firmenwebsites erstellen, Infrastruktur fernsteuern, Schadcode testen und ausrollen.
Brian Hussey, Senior Vice President of Cyber Fusion bei Cyderes, argumentiert, dass Angreifer ihre IT-Worker-Betrügereien weiter mit KI aufrüsten müssten, weil Organisationen die altbekannten Tricks zunehmend durchschauten. “Das gestiegene Bewusstsein in den Einstellungsteams macht erkennbar einen Unterschied. Viele Organisationen bauen inzwischen Prüffragen in Fernbewerbungsgespräche ein, etwa nach lokalen Sehenswürdigkeiten oder Aktivitäten in der Stadt, in der die Bewerber zu wohnen behaupten”, sagt er. Manche stellten sogar kulturelle oder politische Fragen, die ein verdeckter nordkoreanischer Akteur nur zögerlich offen beantworten würde. Diese Ansätze seien nicht narrensicher, zeigten aber wachsende Wachsamkeit.
Nach eigener Beobachtung ergänzt Hussey: “Wir haben in den vergangenen sechs Monaten weniger Untersuchungen zu dieser Aktivität gesehen.” Das spiegele womöglich nicht die gesamte Bedrohungslage wider, könne aber auf eine vorübergehende Verlangsamung oder eine Verschiebung der Taktik hindeuten.
