Senior-Entwickler nach vier bestandenen Video-Interviews eingestellt – und installierte 25 Minuten nach Erhalt des Firmenlaptops Malware

Das US-Justizministerium hat am 15. April in einem Fall, in dem zwei US-Staatsbürger Nordkoreas IT-Kräften bei der Infiltration amerikanischer Unternehmen geholfen hatten, Freiheitsstrafen von 108 beziehungsweise 92 Monaten verhängt.

Die zentrale Methode bestand darin, Dutzende Firmenlaptops in Wohnhäusern innerhalb der USA zu sammeln und über KVM-Switches nordkoreanische IT-Kräfte in Dandong und Shenyang in China per Remote-Arbeit darauf zugreifen zu lassen.

Nach außen wirkte alles wie US-IP, US-Konto, US-Laptop und US-Identität, tatsächlich waren die eigentlichen Arbeitskräfte jedoch nordkoreanische IT-Kräfte.

Laut der Mitteilung des Justizministeriums wurden die Identitäten von mehr als 80 US-Bürgern missbraucht, mehr als 100 US-Unternehmen geschädigt und rund 5 Millionen US-Dollar nach Nordkorea transferiert.

In einigen Fällen sollen Komplizen im Ausland sogar auf ITAR-kontrollierte Daten eines kalifornischen KI-Rüstungsunternehmens zugegriffen haben, wodurch sich der Fall von einfachem Einstellungsbetrug zu einem Problem des Abflusses von Verteidigungstechnologie ausgeweitet hat.

Die Sicherheitsbranche geht davon aus, dass das Problem deutlich weiter verbreitet ist.

Der CTO von Mandiant erwähnte auf der RSAC 2025, dass nahezu alle CISOs eingeräumt hätten, mindestens eine, teils sogar mehrere Dutzend nordkoreanische IT-Kräfte beschäftigt zu haben.

Google erklärte ebenfalls, in der eigenen Recruiting-Pipeline Bewerber aus nordkoreanischen IT-Kräften erkannt zu haben, und einige Krypto-Startups behaupten, die Zahl nordkoreanischer Ingenieure, die sich als US-Bürger ausgeben, sei überwältigend hoch.

Auch das Security-Awareness-Training-Unternehmen KnowBe4 veröffentlichte einen Schadensfall.

Trotz Background-Check, vier Video-Interviews und sogar Fotoabgleich bestand der Bewerber alle Prüfungen, und nur 25 Minuten nach Ankunft der von der Firma versandten Mac-Workstation wurde Malware ausgeführt.

Zuletzt hat sich die Methode weiterentwickelt: Nach einer Entlassung werden Quellcode und interne Daten als Geiseln genommen und Bitcoin gefordert.

Es geht also nicht mehr nur darum, Gehälter abzugreifen, sondern um komplexe Angriffe, die Insider-Bedrohungen, Ransomware und Verbindungen zu staatlichen Hackergruppen kombinieren können.

Die entscheidende Veränderung besteht darin, dass Nordkorea nicht mehr nur durch Hacking oder den Diebstahl von Kryptowährungen Geld verdient, sondern Einnahmen erzielt, indem es als "Mitarbeiter" in die regulären Gehaltssysteme US-amerikanischer Unternehmen gelangt.

Wenn sich die bisherige Durchsetzung der Nordkorea-Sanktionen vor allem auf Finanzinstitute, Reedereien und die Verfolgung von Briefkastenfirmen konzentrierte, zeigt dieser Fall, dass auch HR, Recruiting und die Infrastruktur für Remote-Arbeit selbst zu Wegen der Sanktionsumgehung werden können.

Der Kern des Falls ist, dass dies nicht nur ein Problem für Security-Teams ist, sondern dass der gesamte Arbeitsmarkt zur Angriffsfläche geworden ist.

Dass ein Bewerber, der Interview, Identitätsprüfung, Gerätezustellung und Zugang zum internen Netzwerk erfolgreich passiert hat, in Wirklichkeit ein Entwickler außerhalb der USA sein kann, macht dies eher zu einer neuen Form von Supply-Chain-Angriffen im Zeitalter des Remote-Recruitings.