Nordkoreanische Hacker, die sich als IT-Mitarbeiter ausgeben, haben ihren Fokus verstärkt auf Unternehmen in Großbritannien und anderen europäischen Ländern gerichtet. Diese neue Welle von Cyberangriffen wird von Google Threat Intelligence Group aufgedeckt und zeigt, wie sich die Bedrohungslage in Europa rasch verändert und wie wichtig es ist, sich gegen solche ausgeklügelten Bedrohungen zu wappnen. Die Hacker nutzen Identitätsdiebstahl, falsche Lebensläufe und künstliche Intelligenz, um sich glaubwürdig als legitime Arbeitnehmer zu präsentieren und somit Zugang zu sensiblen Unternehmensdaten zu erhalten. In den letzten Monaten hat sich die Aktivität der nordkoreanischen Hacker zunehmend auf größere Unternehmen und neue geografische Gebiete wie Deutschland, Portugal und Serbien ausgeweitet, was auf eine Ausweitung ihrer Operationen hindeutet. Grund für diesen strategischen Schwenk sind verstärkte Kontrollen und Strafverfolgungen in den USA, welche den Betreibern in Nordkorea das Leben schwerer machen.
Dies zeigt, wie anpassungsfähig und flexibel diese Gruppen sind, wenn es darum geht, ihre Angriffsvehikel zu verändern und neue Möglichkeiten für Cybercrime zu finden. Die Vorgehensweise dieser Hacker ist besonders perfide, da sie sich nicht einfach als gewöhnliche Angreifer präsentieren, sondern sich als Remote-IT-Mitarbeiter ausgeben, die auf legitimen Jobportalen aktiv nach Stellenangeboten suchen und dort Bewerbungen einreichen. Ihre Profile sind meist gut gefälscht und verfügen über vermeintlich echte Qualifikationen, die von Universitäten in Europa bis hin zu beruflichen Referenzen reichen. Dazu setzen sie auf professionell gefälschte Dokumente und nutzen sogar Täuschungstechniken wie Deepfake-Videos für Vorstellungsgespräche oder AI-gestützte Übersetzungen, um in den jeweiligen Landessprachen zu kommunizieren. Besonders bedenklich ist der Einsatz von gefälschten Ausweisen und die Kooperation mit sogenannten "Facilitators" – Personen oder Organisationen vor Ort, die den Hackern helfen, Identitätsprüfungen zu umgehen und Zahlungen über verschleierte Kanäle wie Kryptowährungen oder internationale Geldtransferdienste abzuwickeln.
Dadurch wird die Herkunft der Gelder verschleiert und die Verfolgung erschwert. Google fand sogar Hinweise auf einen Laptop aus New York, der in London operierte, was die internationale Vernetzung der Hacker unterstreicht. Neben der Tarnung durch falsche Profile setzen die Angreifer verstärkt auf aggressive Taktiken, die oft aus der wachsenden Verzweiflung stammen. Während zuvor nach einer Entlassung oft noch versucht wurde, ein gutes Verhältnis zum Arbeitgeber zu bewahren, um erneut eingestellt zu werden, kehren die Täter nun zu Erpressungsversuchen zurück. Sie drohen damit, sensible Unternehmensdaten zu veröffentlichen, falls kein Lösegeld gezahlt wird – ein deutliches Zeichen für den zunehmenden Druck, unter dem diese Gruppen stehen.
Die Cyberangriffe haben vielfältige Auswirkungen und treffen besonders Unternehmen mit sogenannten Bring Your Own Device (BYOD)-Richtlinien, bei denen Mitarbeiter ihre persönlichen Geräte für die Arbeit verwenden. In solchen Umgebungen ist die Kontrolle über Sicherheitsfeatures eingeschränkt, was es den Hackern erleichtert, unentdeckt Zugang zu internen Systemen zu erhalten. Insbesondere nutzen sie eigene Geräte, um über virtuelle Maschinen des Unternehmens auf kritische Daten zuzugreifen, wodurch die Spur schwer nachvollziehbar ist. Die Bandbreite der angebotenen IT-Dienstleistungen, die diese Hacker vorgeben zu erbringen, ist beeindruckend. Sie präsentieren sich als erfahrene Entwickler in Bereichen wie Webentwicklung, Blockchain-Technologien, künstliche Intelligenz und sogar spezialisierte Softwarelösungen für Job-Marktplätze und Bots.
Dieses breite Portfolio unterstreicht die Professionalität, mit der die Hacker ihre Fälschungen gestalten, um ihre Opfer zu täuschen und Vertrauen zu gewinnen. Einen besonderen Fokus legen die Angreifer auf Unternehmen aus sensiblen Branchen wie Verteidigung und staatlichen Institutionen, was die Gefahr von Industriespionage und staatlich gefördertem Cybercrime erhöht. Die Episode zeigt insgesamt, wie sich die Bedrohungslandschaft durch den Einsatz neuer Technologien und verschärfter taktischer Ansätze kontinuierlich weiterentwickelt und Unternehmen in Europa wachsam bleiben müssen. Experten wie Jamie Collier von Google mahnen eindringlich, dass Europa die Bedrohung durch solche IT-Arbeitskräfte ernst nehmen muss. Die Annahme, dass Cybersicherheitsprobleme hauptsächlich ein US-amerikanisches Problem seien, ist gefährlich und kann zu verspäteten Gegenmaßnahmen führen.
Die Anpassung an immer raffiniertere Angriffsstrategien und die Schaffung robuster Sicherheitsprozesse sind unerlässlich, um der aktuellen und zukünftigen Bedrohungslage Herr zu werden. Die Kombination aus sozialen Manipulationstechniken, moderner Technologie und weltweiter Vernetzung zeigt auch, dass Cyberangriffe längst nicht mehr nur über klassische Mittel erfolgen, sondern komplexe, mehrstufige Operationen beinhalten, die tief in Unternehmensstrukturen eindringen können. Die Gefahr, welche von staatlich unterstützten Hackergruppen ausgeht, ist dabei besonders groß, da hier finanzielle und technische Ressourcen zur Verfügung stehen, die Angriffe auf hohem Niveau erlauben. Um dem entgegenzuwirken, sollten europäische Unternehmen sowohl ihre Prozesse zur Bewerberüberprüfung intensivieren als auch technische Sicherheitsmaßnahmen bei Remote-Arbeitern und BYOD-Umgebungen verstärken. Die Integration von KI-gestützten Erkennungssystemen, die Anomalien in Kommunikations- und Arbeitsmustern erkennen, kann hierbei helfen, verdächtige Aktivitäten frühzeitig zu identifizieren und zu unterbinden.
Gleichzeitig muss die Sensibilisierung der Mitarbeiter für solche Angriffsformen gefördert werden, um soziale Ingenieurskunst effektiv zu bekämpfen. Zudem ist eine enge Zusammenarbeit mit Strafverfolgungsbehörden und internationalen Partnern notwendig, um die Netzwerke der Facilitoren zu zerschlagen und die Finanzierung der Hackergruppen zu unterbinden. Die Einbindung von spezialisierten Cybersecurity-Firmen und kontinuierliche Überwachung von IT-Systemen spielen eine zentrale Rolle bei der Abwehr dieser Bedrohungen. Insgesamt stellt die Eskalation der nordkoreanischen Hackeraktivitäten eine ernste Warnung dar, die weit über die klassischen Cyberangriffe hinausgeht. Die strategische Nutzung von Fake-Identitäten, der Einsatz künstlicher Intelligenz und die Internationalisierung der Operationen zeigen, wie Cyberkriminalität zunehmend zu einem globalen und vielschichtigen Problem wird.
Europas Unternehmen und Institutionen sind gefordert, wachsam zu bleiben, sich ständig weiterzuentwickeln und proaktiv Sicherheitsmaßnahmen zu implementieren, um dieser wachsenden Bedrohung entgegenzuwirken und ihre digitalen Vermögenswerte zu schützen.
