Fake-Entwickler aus Pjöngjang: Wie Nordkorea westliche Unternehmen unterwandert

Gefälschte Profile auf Job-Plattformen, KI-generierte Gesichter im Vorstellungsgespräch, gestohlene Identitäten im Lebenslauf: Nordkorea schleust laut US-Behörden systematisch IT-Arbeiter in westliche Unternehmen ein – und kassiert deren Gehälter für sein Atomwaffenprogramm. Die Aktivitäten sind Teil einer globalen Strategie im Bereich Cybercrime. Die USA haben im Zuge einer laufenden Kampagne Sanktionen gegen sechs Personen und zwei Organisationen verhängt, die das globale Netzwerk am Laufen halten. Auch Europa ist kein sicherer Hafen: Ein Mittelsmann operierte aus Spanien. Auch in anderen Teilen des Kontinents beobachtet die Google Threat Intelligence Group mehr Bewerbungen von nordkoreanischen IT-Fachkräften bei Firmen in Europa.

Bei der Suche nach geeigneten IT-Fachkräften haben einige US-Unternehmen in den vergangenen Jahren offenbar auf jede Form von Präsenz verzichtet – selbst beim Vorstellungsgespräch. Das FBI riet deshalb bereits im Januar 2025 dazu, dass Firmen zumindest den Einstellungsprozess möglichst von Angesicht zu Angesicht vornehmen sollten. Zum Teil sind die Firmen offenbar auch auf dubiose Personalvermittler hereingefallen.

Nicht nur Fake-Arbeit, sondern auch Erpressung

Wäre es nur das Abkassieren von Löhnen gegen eine Arbeitsleistung, könnten vermutlich einige Firmen sogar damit leben, wenn das Geld nicht in Waffenprogramme fließen würde. Doch die US-Behörden warnen, dass solche IT-Agenten in Einzelfällen auch dazu übergehen, die Unternehmen zu erpressen. Dazu schleusten sie Malware in Firmennetzwerke ein und stahlen sensible Daten. Laut FBI wurden Quelltexte gestohlen und erst gegen Geld freigegeben. Ganze Code-Repositories, etwa auf GitHub, seien auf eigene Accounts und private Cloud-Speicher übertragen worden.

Das US-Finanzministerium beziffert den von Nordkoreanern erwirtschafteten Betrag allein für das Jahr 2024 auf 800 Millionen US-Dollar. Diese Summe ist jedoch nur ein Teil der Einnahmen: In einem Rekordjahr soll Nordkorea zudem zwei Milliarden US-Dollar Kryptogeld gestohlen haben. Bei den jetzt sanktionierten Personen handelt es sich unter anderem um den CEO einer Briefkastenfirma in Vietnam, die 2,5 Millionen US-Dollar für Nordkoreaner in Kryptowährung umtauschte. Der spanische Akteur vermittelte Freelance-IT-Verträge, andere koordinierten die Auslandsentsendung von IT-Arbeitern oder betrieben Geldwäsche. In den USA wurde erst kürzlich eine Helferin wegen des Einschleusens falscher IT-Fachkräfte aus Nordkorea zu einer langjährigen Haftstrafe verurteilt.

Was das FBI Firmen rät

Das FBI rät Unternehmen dazu, bei der Vergabe von Zugriffsrechten restriktiv vorzugehen und den Netzwerktraffic sowie Remote-Verbindungen zu überwachen. Wie wichtig eine genaue Analyse ist, zeigte sich bei Amazon, wo eine minimale Tastatur-Verzögerung einen nordkoreanischen IT-Maulwurf entlarvte. Auch sollten externe Personalvermittler dahingehend überprüft werden, wie sie Neueinstellungen vornehmen.

(mki)