Wie Nordkorea Kryptowährung mit vermeintlichen Stellenangeboten ergaunert

Sicherheitsforscher weisen auf eine Kampagne offenbar nordkoreanischen Ursprungs hin, die das Ziel hat, an neuen Jobs interessierten Personen Kryptowährung zu stehlen. Dabei kontaktieren falsche Personalvermittler Beschäftigte der Kryptobranche, etwa auf der Plattform LinkedIn, und bieten diesen neue Stellen an. Doch es geht nur darum, Zugang zu den PCs der Interessenten zu erlangen, um diese um digitale Güter zu erleichtern.

Nordkorea wird schon seit Langem vorgeworfen, mit dem Diebstahl von Kryptowährung sein sanktioniertes Waffenprogramm zu finanzieren. Die Regierung in Pyongyang bestreitet dies jedoch regelmäßig. Überwiegend wird Nordkorea beschuldigt, dass Agenten des Landes als falsche IT-Fachkräfte in zahlreichen US-Firmen per Homeoffice arbeiten, um mit ihren Gehältern Einnahmen für die nordkoreanische Regierung zu generieren. Diese Kampagne wurde offenbar auch auf Europa ausgeweitet. Im Herbst letzten Jahres warnte der Verfassungsschutz deutsche Firmen vor angeblichen Freelancern aus Nordkorea.

Betrug an Jobsuchenden

Jetzt berichtet Reuters von einer anderen Kampagne Nordkoreas zur Finanzierung des Landes. Durch „Social Engineering“ werden potenziell wechselwillige Mitarbeiter von vermeintlichen Personalvermittlern angesprochen, die ihnen neue Jobs anbieten. Ziele sind vorrangig in der Kryptobranche beschäftigte Personen, sodass es sich oft um Stellen mit Bezug zur Blockchain handelt. Oft wird ein Kontakt über Netzwerke wie LinkedIn oder auch Telegram hergestellt.

Betroffene beschreiben den Prozess nach der ersten Kontaktaufnahme als zunächst typischen Austausch über Einzelheiten zur Tätigkeit und der Vergütung. Dann aber versucht der vermeintliche Personalvermittler, den Bewerber auf eine obskure Webseite zu leiten, um dort einen Eignungstest durchzuführen und ein Video aufzuzeichnen. Vielen Interessenten kam dies verdächtig vor. Warum kein Bewerbungsgespräch auf einer bekannten Videoplattform wie Teams oder Zoom?

Während die meisten der Betroffenen den Kontakt an dieser Stelle abgebrochen haben, berichtet ein Produktmanager einer US-Kryptofirma, der anonym bleiben wollte, dass er den Anweisungen des angeblichen Personalvermittlers gefolgt ist und das Video aufgenommen hat. Am Abend desselben Tages stellte er jedoch fest, dass seiner digitalen Wallet, die er auf seinem Computer speichert, Ethereum und Solana im Wert von rund 1000 US-Dollar fehlten. Das LinkedIn-Profil des angeblich bei der Blockchainfirma Ripple Labs beschäftigten Personalvermittlers war ebenfalls verschwunden.

„Contagious Interview“ ist keine neue Kampagne

Ripple Labs hat sich nicht zu dem Fall geäußert, aber das ebenfalls für diese Zwecke genutzte Finanzunternehmen Robinhood erklärte auf Anfrage, dass es sich „einer Kampagne Anfang des Jahres bewusst ist, bei der versucht wurde, sich als mehrere Krypto-Unternehmen auszugeben, darunter Robinhood“. Die Firma hat bereits verschiedene Domains abschalten lassen, die für diese Betrugsversuche genutzt wurden. LinkedIn schreibt in einer Stellungnahme, dass die bislang bekannten Profile der vermeintlichen Personalvermittler zuvor bereits gelöscht worden waren.

Die Idee dieser Kampagne ist allerdings nicht neu. Schon im November 2023 entdeckten die Sicherheitsforscher der Unit 42 der Palo Alto Networks eine als „Contagious Interview“ bezeichnete Kampagne. Dabei hatten sich böswillige Akteure als Arbeitgeber ausgegeben, zumeist anonym oder mit vager Identität, um Softwareentwickler im Rahmen des Bewerbungsprozesses zur Installation von Malware zu verleiten. Dadurch konnten Angreifer verschiedene Daten oder eben auch Kryptowährung stehlen. Schon damals waren sich die Sicherheitsforscher relativ sicher, dass Contagious Interview von einem staatlich unterstützten Akteur Nordkoreas betrieben wurde.

(fds)