Nordkoreanische IT-Agenten unterwandern westliche Firmen mit legitimer Software

24. Juni 2025

Enttarnung einer verdeckten Operation: Wie nordkoreanische IT-Mitarbeiter Endpoint-Schutzsysteme umgehen

Ein jüngst aufgedeckter Fall zeigt, wie nordkoreanische IT-Spezialisten unter dem Deckmantel legaler Fernarbeit Sicherheitsmechanismen umgehen und unbemerkt Zugang zu Unternehmensnetzwerken erhalten. Der Vorfall, der 2024 im Rahmen einer Razzia durch US-Behörden publik wurde, wirft ein Schlaglicht auf die wachsende Bedrohung durch staatlich gesteuerte Cyberoperationen, die legitime IT-Infrastrukturen für Spionage und Sabotage missbrauchen.

Im Zentrum des Falls steht ein nordkoreanischer Staatsbürger, der sich mithilfe gefälschter Dokumente als Remote-Entwickler bei einem westlichen Unternehmen bewarb. Über eine Outsourcing-Plattform erhielt er schließlich die Anstellung – inklusive Firmenlaptop und VPN-Zugang. Was zunächst wie ein normaler Onboarding-Prozess aussah, entpuppte sich als Ausgangspunkt für eine hochgradig ausgeklügelte Infiltration.

Legitime Tools als Tarnung

Im Rahmen der Untersuchung durch das IT-Sicherheitsunternehmen Sygnia nach der Beschlagnahmung des Laptops wurde ein modulares Fernsteuerungssystem entdeckt, das tief in den Entwicklungsworkflow eingebettet war. Der Angreifer nutzte gängige Tools wie Python-Skripte, WebSocket-Clients und selbst den Videokonferenzdienst Zoom – allerdings nicht, um Schwachstellen auszunutzen, sondern um gezielt dessen reguläre Funktionen zu missbrauchen. So konnte er beispielsweise Zoom starten und Fernzugriffsanfragen automatisiert bestätigen – ein Verfahren, das auf den ersten Blick wie normale Benutzerinteraktion wirkte.

Technische Raffinesse: So funktionierte die Tarnung

Die eingesetzten Skripte waren bewusst unauffällig konzipiert: Minimalistisch, auf Basis von Standardbetriebssystembefehlen und Open-Source-Bibliotheken programmiert, fügten sie sich nahtlos in die Arbeitsumgebung ein. Ein zentrales WebSocket-System diente zur verteilten Befehlsausführung. Weitere Komponenten horchten auf ARP-Pakete im lokalen Netzwerk, um Kommandos weiterzugeben. Lokale HID-Simulationen (Tastatur und Maus) imitierten menschliches Verhalten und täuschten so Benutzeraktivitäten vor – etwa die Eingabe von Tastaturbefehlen oder Mausbewegungen.

Persistenz erreichte der Akteur durch Shell-Skripte, die beim Systemstart automatisch ausgeführt wurden. Damit blieben seine Werkzeuge stets aktiv, sobald der Rechner eingeschaltet war – ohne aufzufallen.

Ein System mit Potenzial für Spionage

Auch wenn im konkreten Fall keine Hinweise auf Datenabfluss oder Spionageaktivitäten gefunden wurden, zeigte die Analyse deutlich das vorhandene Potenzial: Die technische Infrastruktur war in der Lage, unbemerkt dauerhaft auf Systeme zuzugreifen und sensible Daten zu überwachen oder zu exfiltrieren.

Fazit: Neue Herausforderungen für EDR-Systeme

Der Vorfall verdeutlicht, wie schwer herkömmliche Endpoint Detection and Response-Systeme (EDR) es mit solchen Angriffen haben. Die Täter setzen gezielt auf legitime Software, um Abwehrmaßnahmen zu umgehen – eine Entwicklung, die neue Anforderungen an die Verteidigungsstrategien von Unternehmen stellt. Besonders problematisch: Die Mitarbeitenden, die solchen Akteuren Arbeitsplätze vermitteln oder mit ihnen zusammenarbeiten, handeln mitunter unwissentlich und tragen so unbeabsichtigt zur Infiltration bei.

Dieser Fall steht exemplarisch für eine neue Qualität digitaler Bedrohungen aus Nordkorea – und unterstreicht die Notwendigkeit, auch scheinbar legitime Remote-Beziehungen kritisch zu hinterfragen.

Übersicht über hochrangige Angriffe

Bösartige Systemarchitektur: Tarnung auf Protokollebene

Der Vorfall zeigt, wie gezielt Angreifer gängige Tools und Netzwerkprotokolle missbrauchen können, um unbemerkt Zugriff auf Systeme zu erlangen – ganz ohne klassische Malware.

Im Zentrum der Angriffskette stand ein modulares Toolset, das auf WebSockets zur Echtzeitkommunikation zwischen infizierten Rechnern und dem Kontrollserver setzte. Im Gegensatz zu herkömmlichem HTTP-Polling ermöglichten WebSockets eine dauerhafte, unauffällige Verbindung mit geringer Erkennbarkeit für gängige Netzwerksicherheitslösungen. Darüber wurden Befehle wie „open_zoom“ oder „approve_remote“ in Echtzeit ausgeführt – unbemerkt vom Nutzer, jedoch sichtbar über Zoom-Standardanzeigen wie Teilnehmerlisten.

ARP-Missbrauch im lokalen Netzwerk

Ein Netzwerk-Listener-Modul analysierte ARP-Pakete im LAN, während ein Relay-Modul darüber empfangene Kommandos im Netz verbreitete. Die eigentliche Steuerung erfolgte über simulierte Eingaben per Maus- und Tastaturemulation. Besonders perfide: Die Aktivitäten wurden ausschließlich dann ausgeführt, wenn der Nutzer aktiv war, was das Risiko der Entdeckung weiter senkte.

Zoom als Einfallstor

Ein spezielles Automatisierungsmodul manipulierte Zoom: Sitzungen wurden gestartet, Fernfreigaben automatisiert erteilt. Durch optimierte Zoom-Konfigurationen (z. B. stummgeschaltetes Audio, deaktivierte Vorschauen) wurden visuelle Hinweise minimiert. Trotz dieser Maßnahmen blieben systemseitige Sicherheitsfunktionen wie die Anzeige von Teilnehmern intakt – der Angreifer tarnte sich, ohne sie zu umgehen.

Kein technischer Einbruch, sondern Social Engineering

Bemerkenswert ist: Der Angreifer musste sich keinen Zugang erkämpfen – er wurde eingelassen. Offenbar gab er sich erfolgreich als legitimer Mitarbeiter aus. Der Fall unterstreicht eine wachsende Gefahr: Die größte Schwachstelle ist oft nicht die Technik, sondern der Mensch.

Fazit

Der Ereignis zeigt, wie sich mit einfachen Mitteln hochentwickelte, schwer erkennbare Angriffe umsetzen lassen. Verteidiger müssen über klassische Signaturen hinausdenken – gefragt sind Protokollanalysen, Verhaltenserkennung und mehr Transparenz auf allen Ebenen.

---

Bild/Quelle: https://depositphotos.com/de/home.html