Nordkorea: 100.000 Fake-IT-Arbeiter generieren halbe Milliarde Dollar

Tausende nordkoreanische Entwickler arbeiten unerkannt in westlichen Firmen und finanzieren das heimische Waffenprogramm. Sicherheitsforscher haben das globale Netzwerk nun enttarnt. Sie zeigen die raffinierten Methoden der falschen Fachkräfte.

Nordkoreas IT-Unterwanderung

Mehr als hunderttausend nordkoreanische Entwickler arbeiten unerkannt in westlichen Unternehmen. Das Ganze dient nicht nur der Spionage und Ähnlichem, sondern hat vor allem finanzielle Hintergründe: Denn die Regierung in Pjöngjang nutzt das zur Devisenbeschaffung. Das Konstrukt funktioniert als staatlich organisierte Industrie. Die Entwickler geben sich als Fachkräfte aus den USA oder Europa aus, um Sanktionen zu umgehen.

Schätzungen gehen von rund 100.000 solcher Arbeitskräfte weltweit aus. Die Gruppe generiert jährlich etwa 433 Millionen Euro für das isolierte Land. Ein einzelner Entwickler kann dabei über 300.000 Dollar pro Jahr verdienen, auch wenn der IT-Arbeiter selbst kaum bis nichts davon sieht. Das Geld fließt oft direkt in die Finanzierung der Waffenprogramme der Regierung. Die Struktur ist streng hierarchisch gegliedert und umfasst Rekrutierer, Vermittler sowie Programmierer.


Wie Flare Research und IBM X-Force in einem Report darlegen, nutzen die Täter professionelle Plattformen. Systeme wie RB Site oder NetkeyRegister dienen als interne Dashboards zur Arbeitsüberwachung. Das Kürzel RB steht für Ryonbong, ein Unternehmen, das wegen Verbindungen zur nordkoreanischen Rüstungsindustrie unter US-Sanktionen steht. Ryonbong operiert historisch oft über Tarnfirmen in China, um den globalen Handel mit militärischer Ausrüstung zu verschleiern.

Ein gefährlicher Aspekt ist die Einbindung westlicher Kollaborateure. Über Plattformen wie LinkedIn oder GitHub werden Personen rekrutiert, die ihre echte Identität verleihen. Sie nehmen Laptops der Arbeitgeber entgegen und ermöglichen den Nordkoreanern den Zugriff auf Firmennetzwerke über eine scheinbar legitime lokale IP-Adresse. Als Lockmittel dient oft eine angebliche Tarnfirma namens C Digital LLC.

Der Arbeitsalltag ist straff organisiert. Die Entwickler nutzen intensiv Google Translate und übersetzen englische Nachrichten zur Kontrolle zurück ins Koreanische. Bewerbungsunterlagen werden akribisch an die gefälschte Identität angepasst. Oft leben die Fachkräfte in IT-Camps in China oder Russland, wo sie unter strenger Bewachung stehen und bis zu 16 Stunden täglich arbeiten.

Methoden zur Enttarnung

Technisch verraten sich die Täter durch spezifische Software auf ihren Geräten. Programme wie NetKey oder OConnect dienen als VPN-Tunnel in das interne nordkoreanische Netzwerk. Der veraltete IP Messenger wird zur dezentralen Kommunikation genutzt, da er keine westlichen Server benötigt. Die Forscher fanden zudem Hinweise auf Verbindungen zur University of Sciences in Pjöngjang. Diese Universität bildet die technologische Elite des Landes aus und ist eng mit dem staatlichen Hacker-Programm verzahnt.

Unternehmen wird geraten, Gespräche nach Möglichkeit persönlich zu führen. Zudem gilt es, auf Ungereimtheiten im Lebenslauf zu achten. KI-generierte Fotos oder Stimmenverzerrer in Video-Calls sind massive Warnsignale. Eine besonders simple Methode zur Enttarnung in Gesprächen ist eine provokante Frage nach Machthaber Kim Jong-un. Echte nordkoreanische Staatsbürger beenden das Gespräch aus Angst vor Repressalien meist sofort.

Habt ihr in eurem Umfeld schon einmal verdächtige Profile bemerkt? Wie schützt sich euer Unternehmen vor Identitätsbetrug bei Remote-Arbeitern? Teilt eure Erfahrungen in den Kommentaren!


Siehe auch: