Nordkoreas digitale Schattenarmee: Wie Remote-IT-Kräfte Unternehmen infiltrieren

Nordkoreanische IT-Schattenarmee nutzt KI für Cyber-Operationen 

Seit 2024 beobachtet Microsofts Threat Intelligence Team verstärkte Aktivitäten nordkoreanischer IT-Fachkräfte, die aus dem Homeoffice agieren – jedoch nicht im herkömmlichen Sinne. Unter dem Deckmantel scheinbar legitimer Remote-Arbeit nutzen diese Mitarbeiter gezielt Künstliche Intelligenz, um ihre wahre Identität zu verschleiern, sensible Daten zu entwenden und Einnahmen für das Regime in Pjöngjang zu generieren.

Professionalisierter Identitätsdiebstahl mithilfe von KI

Die nordkoreanischen Akteure setzen auf fortschrittliche KI-Werkzeuge, um gestohlene Arbeits- und Ausweisdokumente zu manipulieren – etwa durch das Ersetzen von Fotos oder die Bearbeitung von Bildern, um ein professionelleres Erscheinungsbild zu erzeugen. Auch Software zur Stimmveränderung kommt zum Einsatz, um Täuschungsversuche in Bewerbungsgesprächen glaubhafter zu gestalten.

Unterwanderung weltweit – Ziel sind technologieorientierte Branchen

Die Strategie des Regimes geht über Einzelaktionen hinaus: Tausende IT-Fachkräfte, vor allem aus Nordkorea, China und Russland, arbeiten systematisch daran, Unternehmen weltweit zu infiltrieren. Mithilfe von VPNs, Fernwartungstools (RMM) und menschlichen Mittelsmännern verschleiern sie ihren Standort und ihre wahre Identität. Zunächst lag der Fokus auf US-Unternehmen in der Technologie-, Fertigungs- und Transportbranche. Inzwischen weiten sie ihre Aktivitäten auf weitere Branchen und Regionen aus.

Seit 2020 konnten die US-Regierung und die internationale Cybersicherheits-Community Tausende dieser verdeckten Mitarbeiter identifizieren. Die Bedrohung ist real und global.

Schutzmaßnahmen für Unternehmen

Microsoft empfiehlt Unternehmen dringend, ihre Prüfverfahren im Bewerbungsprozess zu verschärfen. Dazu zählen etwa:

• Gründliche Überprüfung beruflicher und sozialer Online-Profile

• Abgleich von Kontaktdaten und digitaler Historie

• Video-Interviews zur Identitätsbestätigung

• Vorsicht bei externen Personalvermittlungen

• Richtlinien gegen nicht genehmigte IT-Tools

Microsofts Gegenmaßnahmen

Unter dem Namen Jasper Sleet (ehemals Storm-0287) verfolgt Microsoft gezielt nordkoreanische Akteure, die sich auf betrügerische Remote-Jobs spezialisiert haben. Weitere Gruppen wie Storm-1877 und Moonstone Sleet agieren mit ähnlichen Methoden. Microsoft hat bereits 3.000 Outlook- und Hotmail-Konten gesperrt, die von diesen IT-Fachkräften für ihre Operationen genutzt wurden.

Darüber hinaus wurden in Produkten wie Microsoft Entra ID Protection und Microsoft Defender XDR neue Erkennungsmethoden implementiert, um Kunden frühzeitig auf verdächtige Aktivitäten hinzuweisen. Betroffene Unternehmen wurden individuell informiert und mit Empfehlungen zur Sicherung ihrer Systeme unterstützt.

Transparenz und Prävention

Der aktuelle Blogbeitrag von Microsoft bietet tiefere Einblicke in die Taktiken nordkoreanischer IT-Akteure – von der Nutzung gefälschter Identitäten über den Einsatz von KI bis hin zu konkreten Erkennungs- und Gegenmaßnahmen. Ziel ist es, nicht nur über die Gefahr aufzuklären, sondern Unternehmen weltweit zu befähigen, sich aktiv gegen diese Form der Cyberkriminalität zu schützen.

Die Bedrohung durch nordkoreanische IT-Fachkräfte im Remote-Modus ist kein Einzelfall, sondern Teil eines staatlich orchestrierten Einnahmeprogramms.