Das nordkoreanische IT-Worker-Netzwerk, das von OFAC sanktioniert wurde, demonstriert eine bemerkenswert durchdachte Operationsstrategie. Sechs Individuen und zwei Entitäten wurden für ihre Rolle in dem Betrugssystem verantwortlich gemacht, das Finanzministerium spricht von einer “Deception at Scale”.
Das Modus Operandi ist aufgeteilt in mehrere Phasen: In der Rekrutierungsphase werden westliche Mitarbeiter — häufig über LinkedIn und GitHub — akquiriert, die unwissentlich oder bewusst ihre Identitäten zur Verfügung stellen. Diese dienen als Deckmantel für die nordkoreanischen Operateure. Mit gefälschten Dokumenten, KI-generierten Profilfotos und überzeugenden Lebensläufen bewerben sich diese “Arbeitskräfte” auf legitime Stellen bei US- und internationalen Firmen.
Ein kritischer technischer Aspekt: Die Operateure nutzen das Astrill-VPN, um ihre Aktivitäten von China aus zu verschleiern — weit weg von Nordkorea, wo die Infrastruktur zuverlässiger ist. Der Traffic wird durch US-Exit-Nodes geleitet, sodass die Betrüger wie legitime inländische Mitarbeiter erscheinen. LevelBlue dokumentierte einen Fall, in dem ein neu eingestellter Mitarbeiter nach zehn Tagen aufgrund von verdächtigen Login-Mustern aus China entlarvt wurde.
Besonders beunruhigend ist die Integration von künstlicher Intelligenz: Jasper Sleet nutzt AI-Tools zur Identitätsfälschung, Social Engineering und für die operative Persistenz. Die Faceswap-Technologie wird genutzt, um Gesichter nordkoreanischer Arbeiter in gestohlene Ausweisdokumente einzufügen. Agentic-AI-Tools erstellen sogar gefälschte Unternehmenswebseiten und generieren Malware-Code — teilweise durch das Jailbreaking von Large Language Models.
Nach erfolgreicher Einstellung beginnt die Exploitation-Phase: Die Operateure missbrauchen ihre legitimen Anmeldedaten, um Zugang zu proprietären Systemen und sensiblen Daten zu erlangen. In einigen Fällen wird Malware deployed, um Informationen zu exfiltrieren. Danach folgt die Erpressung: Lösegeldforderungen werden gestellt, um eine öffentliche Veröffentlichung der Daten zu verhindern.
Microsoft und IBM X-Force haben dokumentiert, dass diese Operationen auf einer mehrschichtigen Struktur basieren: Recruiter, Facilitators, IT-Worker und Collaborators spielen jeweils definierte Rollen. Timesheets tracken Bewerbungen, IP Messenger (IPMsg) dient der dezentralisierten Kommunikation, Google Translate hilft bei der Erstellung überzeugender Bewerbungen.
Das eingezogene Geld fließt zurück nach Nordkorea — zur Finanzierung von Raketenprogrammen und anderen WMD-Initiativen. Dies macht das System nicht nur zu einer Cyberbedrohung, sondern zu einem Instrument der Sanktionsvermeidung und Staatsfinanzierung.
Für Sicherheitsverantwortliche ist klar: Dieses Risiko muss als Insider-Threat-Szenario behandelt werden. Ungewöhnliche Zugriffsmuster, anhaltende Low-and-Slow-Aktivitäten und verdächtige Login-Geografien sind Warnsignale.