In einer Ära, in der Remote-Arbeit zur Norm geworden ist, stehen Unternehmen einer neuen und heimtückischen Bedrohung gegenüber: „Fake Workers“ aus Nordkorea, die fortschrittliche KI-Tools einsetzen, um sich hochbezahlte Jobs zu sichern und Millionen an das Regime zurückzuführen.
Dieser raffinierte Betrug, der in einem aktuellen Bericht der Financial Times hervorgehoben wurde, involviert Akteure, die sich als legitime IT-Fachkräfte ausgeben und oft mithilfe von Chatbots und Deepfake-Technologie mehrere Rollen gleichzeitig jonglieren. Dies ist jedoch kein Einzelfall – ähnliche Machenschaften wurden in zahlreichen Quellen aufgedeckt, die auf Großkonzerne abzielen und erhebliche Einnahmen für Pjöngjangs Waffenprogramme generieren.
Das Phänomen der „Fake Workers“ verstehen
Der Kern dieser Operation entspringt dem Bedürfnis Nordkoreas, internationale Sanktionen zu umgehen und Devisen zu erwirtschaften. Agenten stehlen Identitäten – manchmal durch das Hacken inaktiver LinkedIn-Konten oder sogar durch die Bezahlung von Kontoinhabern für den Zugriff – und fälschen dann Lebensläufe und Dokumente. KI spielt hier eine entscheidende Rolle, indem sie digitale Masken, Avatare und Deepfake-Videofilter für Remote-Interviews erstellt. Einmal eingestellt, fangen sie vom Unternehmen ausgestellte Laptops ab, loggen sich aus der Ferne ein und nutzen große Sprachmodelle (LLMs) wie Chatbots, um Aufgaben effizient zu erledigen, manchmal in mehreren Jobs gleichzeitig.
Nach Angaben des US-Justizministeriums haben nordkoreanische Agenten zwischen 2020 und 2024 über 300 US-Unternehmen unterwandert und mindestens 6,8 Millionen Dollar für das Regime generiert. Dieses Geld unterstützt die wirtschaftlichen und sicherheitspolitischen Prioritäten Pjöngjangs, einschließlich der Waffenentwicklung. Cyberexperten stellen fest, dass sich der Betrug nun auf Europa ausweitet, wobei in Großbritannien „Laptop-Farmen“ auftauchen, die Schwachstellen in Rekrutierungsprozessen ausnutzen, die traditionell nicht als Sicherheitsrisiko eingestuft wurden.
Praxisbeispiele aus aller Welt
Dies ist nicht nur Theorie; mehrere Untersuchungen und Berichte beschreiben spezifische Infiltrationen und Taktiken im Detail:
- KnowBe4s knappe Entscheidung: Die Cybersicherheitsfirma KnowBe4 war eine der ersten, die öffentlich zugab, einen gefälschten nordkoreanischen Mitarbeiter eingestellt zu haben. Der Akteur, der darauf aus war, auf interne Systeme zuzugreifen, versuchte Malware einzuschleusen, bevor er entdeckt wurde. Dieser Fall unterstreicht, dass diese „Mitarbeiter“ nicht nur Gehälter abzweigen – sie positionieren sich auch für Cyberspionage.
- Amazons massive Blockade: In einem LinkedIn-Post enthüllte der Sicherheitschef von Amazon, dass das Unternehmen seit April 2024 über 1.800 mutmaßliche nordkoreanische Agenten daran gehindert hat, Jobs zu bekommen. Diese Bewerber zielten verstärkt auf Rollen im Bereich KI und maschinelles Lernen ab, was eine Verschiebung hin zu hochwertigen Tech-Positionen verdeutlicht.
- CrowdStrikes alarmierender Anstieg: Die Cybersicherheitsfirma CrowdStrike berichtete über einen Anstieg der Infiltrationen durch nordkoreanische IT-Mitarbeiter um 220 % im vergangenen Jahr, wovon über 320 Unternehmen betroffen waren. Sie nutzen generative KI für alles, von der Fälschung synthetischer Identitäten und der Änderung von Fotos bis hin zu Echtzeit-Deepfakes in Vorstellungsgesprächen, was es einem einzelnen Akteur ermöglicht, sich mehrfach unter verschiedenen Identitäten zu bewerben.
- Microsofts Warnungen: Microsoft hat beobachtet, wie nordkoreanische Gruppen KI einsetzen, um gefälschte Namen zu erstellen, gestohlene Ausweise zu modifizieren und Stimmenverzerrer-Tools während der Interviews zu nutzen. Dies erhöht die Glaubwürdigkeit der Bewerber, die dann ihre Löhne an den Staat zurückführen. Der Betrug involviert oft „Vermittler“ in den Zielländern, die sich um die Logistik kümmern, wie zum Beispiel das Abfangen von Laptops.
- Gefälschte Jobportale zielen auf KI-Firmen ab: Forscher von Validin deckten eine neue Masche auf, bei der nordkoreanische Agenten eine gefälschte Bewerbungsplattform erstellten, die auf US-amerikanische KI- und Krypto-Unternehmen abzielt. Anstatt sich als Mitarbeiter auszugeben, kapern sie den Einstellungsprozess, um Zugriff auf die Computer der Bewerber zu erhalten und Geld sowie Know-how für das Regime zu stehlen.
- Anklagen und Beschlagnahmungen durch das DOJ: Bundesanwälte klagten vier nordkoreanische Staatsangehörige an, weil sie gefälschte IDs verwendet hatten, um bei einem US-Unternehmen eingestellt zu werden und fast 1 Million Dollar in Kryptowährung zu stehlen. Unabhängig davon leitete das Justizministerium Schritte ein, um 7,7 Millionen Dollar in Krypto und NFTs zu beschlagnahmen, die von ähnlichen Agenten verdient wurden.
- Entdeckung durch Anthropic: Das KI-Unternehmen Anthropic stellte fest, dass nordkoreanische Agenten ihr Tool Claude nutzten, um sich betrügerisch Positionen bei Fortune-500-Tech-Firmen zu sichern, wobei sie Wissenslücken kaschierten und ihre Machenschaften beschleunigten.
Diese Beispiele illustrieren ein staatlich unterstütztes Unternehmen, das sich rasant entwickelt hat. Wie ein Experte es ausdrückte, handelt es sich um eine „Mini-Armee“ von Akteuren, die sich als erfahrene Talente präsentieren, Gehälter kassieren und den Prozess wiederholen. Die UN schätzt, dass solche Machenschaften seit 2018 jährlich bis zu 600 Millionen Dollar generiert haben.
Die Rolle der KI bei der Verstärkung der Bedrohung
KI war ein entscheidender Faktor und fungierte als „Kraftmultiplikator“. Akteure nutzen Tools wie große Sprachmodelle, um kulturell angemessene Kommunikation zu erzeugen, Warnsignale zu vermeiden und sogar bei Programmiertests zu schummeln. Deepfakes ermöglichen die Echtzeit-Maskierung von Aussehen und Stimme, während KI dabei hilft, die täglichen Aufgaben nach der Einstellung zu bewältigen, sodass Akteure mehrere Rollen ohne Entdeckung übernehmen können. Dies beschränkt sich nicht nur auf Nordkorea; Berichte deuten darauf hin, dass iranische Akteure ähnliche Taktiken anwenden.
Wie Unternehmen mit Vali.now zurückschlagen können
Bei vali.now widmen wir uns der Bekämpfung von Betrug und Deepfakes durch unsere Suite von Produkten zur Bildintegrität. Unser Tool zur Live Video Deepfake Detection kann Identitäten während Remote-Interviews verifizieren und KI-generierte Masken sowie Änderungen in Echtzeit erkennen. Für tiefergehende Untersuchungen bietet Ariane forensische Analysen an, die auf Strafverfolgungsbehörden und Unternehmen zugeschnitten sind, während Veritas die Bildintegrität für wissenschaftliche und professionelle Verifizierungen sicherstellt.
Wenn du verdächtige Bewerbungen erhalten hast oder einen „Fake-Mitarbeiter“ in deinen Reihen vermutest, leite die Details an vali.now weiter, um ein schnelles Urteil zu erhalten: Sicher, Verdächtig oder Bestätigter Betrug. Lass nicht zu, dass diese Akteure dein Unternehmen ausnutzen – stärke deine Personalbeschaffung noch heute mit KI-gestützten Abwehrmechanismen.
Bleib wachsam und abonniere unseren Newsletter für weitere Einblicke in neu aufkommende Bedrohungen. Wir versenden keinen Spam – lies mehr dazu in unserer Datenschutzerklärung.