Das Schema basiert nach Angaben der beteiligten Sicherheitsunternehmen auf einer mehrstufigen Struktur aus Recruitern, Vermittlern, IT-Arbeitern und Mitwirkenden, die jeweils eine eigene Rolle übernehmen. Mithilfe rekrutierter westlicher Mitwirkender – vor allem über LinkedIn und GitHub –, die ihre Identitäten freiwillig oder unfreiwillig für den Betrug zur Verfügung stellen, dringen die nordkoreanischen IT-Arbeiter tiefer und dauerhafter in Organisationen ein. Die Operationen seien weit verbreitet und tief in den DPRK-Partei- und Staatsapparat eingebettet und ein integraler Bestandteil der Einnahme- und Sanktionsumgehungs-Maschinerie des Landes.
LevelBlue hob hervor, dass die Akteure beim Vorgehen Astrill VPN nutzen und dabei häufig aus Ländern wie China operieren, weil sich damit Chinas Great Firewall umgehen lässt. Der Datenverkehr werde über US-Ausgangsknoten getunnelt, sodass sich die Operativen als legitime inländische Beschäftigte ausgeben können. Sicherheitsforscher Tue Luu zufolge arbeiten diese Akteure aus zwei Gründen meist aus China statt aus Nordkorea: zuverlässigere Internet-Infrastruktur und die Möglichkeit, über VPN-Dienste ihre tatsächliche geografische Herkunft zu verschleiern. Untergruppen der Lazarus Group, darunter Contagious Interview, seien auf diese Fähigkeit angewiesen, um uneingeschränkt auf das globale Internet zuzugreifen, Command-and-Control-Infrastruktur zu betreiben und ihren Standort zu verschleiern.
Das Unternehmen erkannte zudem einen gescheiterten Infiltrationsversuch: Ein als Remote-Mitarbeiter für Salesforce-Daten eingestellter IT-Arbeiter wurde zehn Tage nach seiner Anstellung am 15. August 2025 wieder entlassen, nachdem er durch wiederholte Logins aus China auffällig geworden war.
Ein auffälliges Merkmal des Vorgehens von Jasper Sleet ist laut Microsoft der Einsatz künstlicher Intelligenz für Identitätsfälschung, Social Engineering und langfristige operative Persistenz zu geringen Kosten. KI werde über den gesamten Angriffszyklus hinweg genutzt, um eingestellt zu werden, angestellt zu bleiben und Zugriffe in großem Maßstab zu missbrauchen; auch die Aufklärungsphase zur Entwicklung überzeugender digitaler Personas werde damit abgekürzt. Eine KI-Anwendung namens Faceswap diene dazu, die Gesichter nordkoreanischer IT-Arbeiter in gestohlene Ausweisdokumente einzufügen und geschönte Bewerbungsfotos zu erzeugen. Darüber hinaus sollen agentische KI-Werkzeuge zum Erstellen gefälschter Firmenwebseiten und zum schnellen Generieren und Überarbeiten von Malware-Komponenten genutzt werden, teils durch Jailbreaking großer Sprachmodelle.
Microsoft empfiehlt, betrügerische Anstellungen und Zugriffsmissbrauch als Insider-Risiko zu behandeln und den Missbrauch legitimer Zugangsdaten, ungewöhnliche Zugriffsmuster sowie anhaltend unauffällige Aktivität in den Blick zu nehmen.
Ein gemeinsamer Bericht von Flare und IBM X-Force zeigt, dass die Operativen Timesheets zur Nachverfolgung von Bewerbungen und Arbeitsfortschritt einsetzen, IP Messenger (IPMsg) für dezentrale interne Kommunikation nutzen und Google Translate verwenden, um Stellenbeschreibungen zu übersetzen, Bewerbungen zu verfassen und sogar Antworten aus Werkzeugen wie ChatGPT zu interpretieren.
