Ein einziger nordkoreanischer Agent operierte mit zwölf verschiedenen Identitäten gleichzeitig in Europa und den USA, während weitere IT-Mitarbeiter gezielt in Deutschland und Portugal Jobs suchen.
Nordkoreanische IT-Fachkräfte, die im Auftrag des Regimes handeln, haben ihre Operationen geografisch ausgeweitet und intensiviert ihre Bemühungen, in westliche Unternehmen einzudringen, so ein aktueller Bericht der Google Threat Intelligence Group (GTIG).
Während die USA nach wie vor ein Hauptziel darstellen, haben die nordkoreanischen Akteure in den letzten Monaten zunehmend Schwierigkeiten, dort Beschäftigung zu finden und zu halten. Dies ist laut Google-Forschern vermutlich auf ein gesteigertes Bewusstsein für diese Bedrohung zurückzuführen – nicht zuletzt durch öffentliche Berichterstattung, Anklagen des US-Justizministeriums und verstärkte Überprüfungen des Arbeitsrechts.
Nordkoreanische Agenten infiltrieren europäischen Arbeitsmarkt
Parallel dazu wurden weitere nordkoreanische IT-Agenten identifiziert, die gezielt in Deutschland und Portugal nach Beschäftigung suchen. Sie nutzen europäische Job-Websites und HR-Plattformen mit gestohlenen oder gefälschten Anmeldedaten. Im Vereinigten Königreich dokumentierte GTIG ein breites Portfolio an Projekten unter nordkoreanischer Kontrolle: Von klassischer Webentwicklung über Bot-Programmierung und Content-Management-Systeme bis hin zu Blockchain-Technologie und KI-Anwendungen.
Ende 2024 soll ein Ende ein „IT-Mitarbeiter“ aus Nordkorea mindestens 12 Personas in Europa und den Vereinigten Staaten gehabt haben. „Der IT-Mitarbeiter bemühte sich aktiv um eine Anstellung bei mehreren Organisationen in Europa, insbesondere in der Verteidigungsindustrie und im Regierungssektor“, schreibt das Forschungsteam. „Diese Person gab nach einem bestimmten Muster gefälschte Referenzen an, baute eine Beziehung zu Personalvermittlern auf und benutzte weitere von ihr kontrollierte Personen, um für ihre Glaubwürdigkeit zu bürgen.“
Komplexes Netzwerk aus Täuschung und gefälschten Identitäten
Die nordkoreanischen Akteure geben sich als Bürger aus Italien, Japan, Malaysia, Singapur, der Ukraine, den USA oder Vietnam aus. Rekrutiert werden sie über Plattformen wie Upwork, Telegram und Freelancer, während die Bezahlung über Kryptowährungen, TransferWise und Payoneer abgewickelt wird, um Geldflüsse zu verschleiern.
Bei der Untersuchung entdeckte GTIG Materialien mit Anleitungen zum Navigieren auf europäischen Job-Websites, gefälschte Lebensläufe mit serbischen Universitätsabschlüssen und slowakischen Wohnsitzen sowie Kontaktdaten zu einem auf gefälschte Pässe spezialisierten Vermittler. Ein aufschlussreicher Fund war ein Dokument mit präzisen Anweisungen zur Arbeitssuche in Serbien.
Zunehmende Erpressungsversuche nach Enttarnung
Laut GTIG verschärfen die nordkoreanischen IT-Arbeiter seit Ende Oktober 2024 auch ihre Taktiken. Die Sicherheitsforscher registrieren eine Zunahme von Erpressungsversuchen, die sich gegen größere Organisationen richten. In mehreren dokumentierten Fällen drohten kürzlich entlassene IT-Mitarbeiter damit, sensible Daten ihrer ehemaligen Arbeitgeber zu veröffentlichen oder an Konkurrenten weiterzugeben. Zu diesen Daten gehörten proprietäre Informationen und Quellcode für interne Projekte. Der Anstieg der Erpressungskampagnen fiel zeitlich mit verschärften Maßnahmen der US-Strafverfolgungsbehörden zusammen, was darauf hindeutet, dass der zunehmende Druck die Akteure zu aggressiveren Methoden treibt, um ihre Einnahmequellen aufrechtzuerhalten.