Thought Leadership
Professionell, erfahren und perfekt getarnt: Eine neue Untersuchung zeigt, wie staatlich gesteuerte Fachkräfte mittels synthetischer Identitäten und KI-Workflows die IT-Infiltration globaler Unternehmen vorantreiben und dabei gezielt Compliance-Lücken ausnutzen.
Die Suche nach hochqualifizierten Softwareentwicklern hat sich in den letzten Jahren fast vollständig in den digitalen Raum verlagert. Was als Effizienzsteigerung im Recruiting begann, hat sich laut aktuellen Erkenntnissen des Group-IB Threat Intelligence Teams zu einer der größten strategischen Schwachstellen für westliche Technologieunternehmen entwickelt. Im Fokus steht eine hochgradig organisierte Form der IT-Infiltration, bei der nordkoreanische (DPRK) IT-Arbeiter systematisch Firmennetzwerke unterwandern. Hierbei handelt es sich nicht um einen klassischen Hackerangriff durch Malware, sondern um ein laborbasiertes Zugangsmodell, das auf menschlicher Täuschung und der Manipulation globaler Arbeitsplattformen beruht.
Die Anatomie der synthetischen Identität: Photoshop und Profil-Rotation
Der Kern dieser Bedrohung liegt in der Perfektionierung digitaler Mimikry. Die Untersuchung dokumentiert, dass diese Akteure keine isolierten Einzeltäter sind, sondern Teil eines koordinierten Netzwerks, das seit mindestens 2021 aktiv ist. Ein prominentes Beispiel ist der GitHub-Account „cybersage14“, der als eine Art „Persona-Hülle“ fungierte. Innerhalb kurzer Zeiträume wechselte die Identität dieses Accounts vollständig: Im Oktober 2023 präsentierte er sich als Nicolas Sammaritano aus Argentinien, während er im Mai 2024 unter dem Namen Caddo Smith aus Texas auftrat.
Die technische Analyse der Repositorien offenbarte, dass hinter diesen Profilen eine professionelle Bildbearbeitung steht. Metadaten in den Profilfotos belegen den Einsatz von Adobe Photoshop, um Porträts zu glätten oder Hintergründe anzupassen. In einigen Fällen wurden sogar kalifornische Führerscheine synthetisch generiert, um Identitätsprüfungen bei Portalen wie Upwork oder LinkedIn zu bestehen. Die Angreifer bauen keine individuellen Karrieren auf, sondern nutzen einen Pool an fertigen „Persona-Paketen“, die bei Bedarf zwischen verschiedenen Operatoren weitergereicht werden.
KI als Sprachbrücke: ChatGPT im Dienste der Täuschung
Ein entscheidender Faktor für den Erfolg dieser Infiltrationsversuche ist die Überwindung sprachlicher Barrieren. Group-IB fand in den untersuchten Archiven direkte Belege für die Nutzung von ChatGPT. Die Akteure verwenden künstliche Intelligenz, um Bewerbungsschreiben zu verfassen und technische Fragen in Echtzeit so zu beantworten, dass sie für Muttersprachler absolut authentisch wirken. Dies maskiert nicht nur die Herkunft der Arbeiter, sondern ermöglicht es ihnen auch, sich als Senior-Entwickler mit jahrzehntelanger Erfahrung in den USA oder Europa zu positionieren.
Die Untersuchung stieß auf umfangreiche Dokumente, die als „Response-Banken“ fungierten. Darin waren erfolgreiche Gesprächsverläufe und technische Erklärungen kategorisiert, die gezielt darauf ausgerichtet waren, den Interviewprozess zu manipulieren. Wenn ein technisches Profil nicht vollständig auf die Anforderungen passte, verschob sich die Argumentation der Bewerber geschickt in Richtung Kostenersparnis oder der Nutzung bereits bestehender Code-Basen, um den Arbeitgeber durch vermeintliche Effizienz zu überzeugen.
Die logistische Basis: AnyDesk und Laptop-Farmen
Um die Illusion eines lokalen Mitarbeiters aufrechtzuerhalten, betreiben diese Gruppen eine komplexe technische Infrastruktur. Die Nutzung von Fernzugriffstools wie AnyDesk ist dabei essenziell. Diese ermöglichen es den Arbeitern, von Standorten außerhalb der Zielregion auf Rechner zuzugreifen, die physisch in den USA oder Europa stehen könnten, oft in sogenannten „Laptop-Farmen“. Unterstützt wird dies durch mobile Management-Suiten wie AirDroid, die zur Umgehung von Telefonverifizierungen bei der Account-Erstellung eingesetzt werden.
Ein weiterer kritischer Aspekt ist der Erwerb etablierter Konten auf Freelancer-Plattformen. Die Ermittler fanden Hinweise darauf, dass die Akteure bereits im Jahr 2021 aktiv nach verifizierten Upwork-Accounts suchten, die über Broker-Netzwerke gehandelt wurden. Ein Account mit positiven Bewertungen und einer langen Historie ist die ideale Tarnung, da er die Due-Diligence-Prüfungen der Personalabteilungen oft ohne nähere Betrachtung passiert. Dies schafft einen Vertrauensvorschuss, der den Weg für eine langfristige Anstellung und den Zugriff auf sensible interne Systeme ebnet.
Compliance-Falle und rechtliche Konsequenzen für das Management
Für IT-Führungskräfte und CISOs geht das Risiko weit über den Diebstahl von geistigem Eigentum hinaus. Die Beschäftigung von nordkoreanischen Staatsbürgern ist ein direkter Verstoß gegen internationale Finanzsanktionen der Vereinten Nationen sowie der USA und Großbritanniens. Unternehmen, die solche Zahlungen leisten, riskieren den Ausschluss vom globalen Finanzsystem und drakonische Bußgelder. Da die Akteure Finanzdienstleister wie Payoneer, Wise oder PayPal nutzen, um ihre Spuren zu verwischen, ist eine lückenlose Prüfung der Zahlungsempfänger für die Compliance-Abteilungen zwingend erforderlich.
Die Untersuchung der Persona „Dejan Teofilovic“ verdeutlichte die hierarchische Struktur dieses Modells. In den Archiven fanden sich Dokumente, die belegen, dass verschiedene Teams gleichzeitig an der „Reifung“ von Identitäten arbeiten. Einige Profile befinden sich in einem frühen Stadium der Glaubwürdigkeit, während andere als „voll einsatzbereit“ markiert sind. Diese industrielle Herangehensweise macht die Bedrohung resilient gegen einzelne Enttarnungen: Wird ein Profil gesperrt, steht das nächste bereits zur Verfügung.
Strategische Abwehrmaßnahmen
Der Schutz vor dieser Form der IT-Infiltration erfordert ein Umdenken im Recruiting und in der IT-Governance. Klassische Hintergrundüberprüfungen müssen durch spezifische technische Validierungen ergänzt werden. Dazu gehören verpflichtende Video-Interviews mit biometrischem Abgleich gegen offizielle Dokumente und die Überprüfung der Hardware-Integrität. IT-Leiter sollten zudem auf Unstimmigkeiten in den Login-Daten achten, etwa wenn IP-Adressen regelmäßig über VPN-Dienste oder bekannte Remote-Access-Gateways geroutet werden.
Zusätzlich ist eine Sensibilisierung der HR-Teams für die typischen Muster dieser Kampagnen notwendig. Dazu zählen auffällig formelle Sprachmuster in der schriftlichen Kommunikation, die auf KI-Nutzung hindeuten, sowie die Weigerung von Bewerbern, bestimmte Standard-Verifizierungsschritte zu durchlaufen.
