Nordkorea schleust mithilfe von generativer KI gefälschte Bewerber in westliche Unternehmen ein, erstellt realistische Deepfake-Profile und nutzt Laptop-Farmen für Wirtschaftsspionage. So können HR- und IT-Teams diese Angriffe erkennen, abwehren und Sicherheitsrisiken im Bewerbungsprozess gezielt minimieren.
Das Threat Intelligence Team von Okta hat aufgedeckt, wie nordkoreanische Staatsagenten mit Hilfe generativer KI an Jobs in westlichen Unternehmen gelangen – mit dem Ziel, das Regime in Pjöngjang zu unterstützen.
(Bild: Midjourney / KI-generiert)
Für viele Bewerber stellt generative KI mittlerweile eine enorme Hilfe dar. Von der Erstellung von Lebensläufen und Anschreiben bis hin zur gezielten Vorbereitung auf Vorstellungsgespräche bieten die gängigsten Chatmodelle vielfältige Möglichkeiten, um den Prozess zu beschleunigen und die Selbstpräsentation zu optimieren. Während auf Social Media vielfältige Tipps zur Nutzung von KI im Bewerbungsprozess geteilt werden, haben auch die großen Jobbörsen dieses Potenzial schon früh erkannt und bieten Nutzern KI-Tools an, um Bewerbungsunterlagen zu optimieren. Wie so oft wird aber auch hier klar: „Wo viel Licht ist, ist auch starker Schatten“ – dass dieser Aphorismus aus Goethes Götz von Berlichingen auch hier voll zum Tragen kommt, verdeutlicht der böswillige Einsatz von KI durch das Regime in Nordkorea.
Nordkorea steht seit vielen Jahren unter massiven internationalen Sanktionen. Um dennoch dringend benötigte Devisen zu beschaffen, bedient sich das Regime in Pjöngjang eines perfiden Tricks: Technisch versierte Staatsagenten werden über Mittelsmänner in westlichen Ländern als scheinbar unabhängige Bewerber in internationale Unternehmen eingeschleust – bevorzugt in IT- und Softwarepositionen, die keine Anwesenheit im Büro erfordern.
Die Täuschung beginnt dabei bereits vor der eigentlichen Bewerbung, auf die das System abzielt. Um herauszufinden, wie die besten und vielversprechendsten Bewerbungsunterlagen aussehen und aufgebaut sind, werden im Internet ähnlich geartete IT-Jobs ausgeschrieben – dass sich hinter den angegebenen Firmen und Positionen natürlich kein wirklicher Job, sondern eine bizarre Betrugsmaschinerie befindet, wissen die Bewerber nicht. Die eingehenden Bewerbungen werden sorgfältig mit KI-Tools analysiert und dienen im Nachgang zum Aufbau von hundert- bis tausendfachen gefälschten Unterlagen, die wiederum bei echten Unternehmen eingereicht werden. Mithilfe von KI lassen sich diese Unterlagen kontinuierlich gegen gängige Bewerbermanagementsysteme testen und optimieren, bis sie eine möglichst hohe Erfolgswahrscheinlichkeit erreichen.
Dass sich hinter den optimierten und vielversprechenden Bewerbungen nur falsche Existenzen und Bots befinden, können die Personalabteilungen eingangs nur schwer ahnen. GenAI dient nämlich nicht nur der Erstellung von Text und Inhalten, sondern unterstützt auch bei der Erstellung von Fake-Identitäten samt Social-Media-Profilen, E-Mail-Adressen und der Fälschung von persönlichen Qualifikationsnachweisen und Dokumenten. Sprachbarrieren verlieren dabei zunehmend an Bedeutung – mit KI-basierten Übersetzungs- und Transkriptionsdiensten gelingt eine nahezu reibungslose Kommunikation zwischen Betrügern und den involvierten Personal- und Fachabteilungen. Um die Menge an Bewerbungen zu skalieren und genügend Jobangebote einzuholen, ermöglichen KI-Tools das gleichzeitige Management vielfacher Bewerberidentitäten sowie die Koordination von hundert bis tausenden Bewerbungen hinter einem einzigen Steuerpult.
„Stellen Sie sich doch bitte vor“
Sobald ein Bewerber zum Interview eingeladen wird, kommen weitere Mittel zum Einsatz. In mehreren Fällen beobachtete Okta Threat Intelligence den Einsatz von Deepfake-Technologien zur Generierung von Videobildern und Stimmen. Die Täter nutzen diese Methode, um falsche Identitäten visuell zu untermauern und persönliche Interviews zu bestehen, ohne jemals real vor der Kamera zu sitzen. Unterstützt werden sie dabei von KI-gestützten Interview-Trainern, die typische Gesprächssituationen simulieren, visuelle Effekte anpassen und sogar automatisierte Verbesserungsvorschläge liefern.
Das Ziel ist stets dasselbe: die Erfolgschance im Bewerbungsprozess zu maximieren und mit dem Feedback zukünftige Bewerbungen zu optimieren. Sofern es tatsächlich zu einer Anstellung kommt, setzt die nächste Eskalationsstufe ein.
In vielen Fällen senden Unternehmen ihren neuen Remote-Mitarbeitern firmeneigene Hardware zu. Was sie nicht wissen: Die Geräte landen oft nicht bei den vermeintlichen Mitarbeitern, sondern in sogenannten "Laptop-Farmen" – zentralen Einrichtungen in westlichen Ländern, in denen Dutzende dieser Endgeräte betrieben und gesteuert werden. Die dort tätigen Mittelsmänner kümmern sich um die technische Einrichtung, um Remote-Zugriffe, Software-Updates und Authentifizierungen im Namen der Fake-Mitarbeiter durchzuführen.
Das Ausmaß dieser Operationen ist alarmierend: Im Mai 2024 wurde eine Einrichtung in Arizona enttarnt, die über 300 gefälschte Beschäftigte in US-Firmen untergebracht haben soll. Im Januar 2025 wurde ein weiterer Fall bekannt, in dem zwei Personen aus North Carolina im Verdacht stehen, ein ähnliches Netzwerk für 64 Unternehmen betrieben zu haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Welche Unternehmen besonders gefährdet sind
Gefährdet sind vor allem Unternehmen, die remote-freundliche Strukturen pflegen und global rekrutieren. Zwar sind Technologieunternehmen besonders häufig betroffen, doch heißt das nicht unbedingt, dass nur diese Branche dem Betrug zum Opfer fällt. Auch Industrieunternehmen, Behörden oder Dienstleister mit digitalen Rollen und internationalem Sourcing können ins Visier geraten.
Die Angreifer agieren eher opportunistisch: Sobald eine passende Stelle mit Remote-Option ausgeschrieben ist, werden automatisiert Dutzende Bewerbungen eingereicht – von verschiedenen Identitäten, gesteuert von einem einzigen Netzwerk. Ein Okta-Partner zählte über 1.000 Bewerbungen von rund 300 eindeutig verbundenen Identitäten. Die Gefahr besteht dabei nicht nur im wirtschaftlichen Schaden durch unbegründete Gehaltszahlungen, sondern auch in potenziellen Sicherheitsrisiken durch Datendiebstahl, Industriespionage und dem Einbau schädlicher Strukturen durch einen unkontrollierten Zugriff.
Die gute Nachricht: Es gibt wirksame Maßnahmen, um sich vor diesen professionellen Täuschungsversuchen zu schützen. Voraussetzung ist jedoch, dass Unternehmen den Bewerbungsprozess als sicherheitskritischen Bereich verstehen – und nicht nur als HR-Thema. Okta empfiehlt in diesem Zusammenhang drei zentrale Schutzmechanismen:
Erstens sollten Unternehmen ihre Talent- und Recruiting-Teams schulen, verdächtige Bewerbungen zu erkennen. Wiederkehrende Formulierungen, untypische Kommunikationszeiten oder auffällig generische CVs können Hinweise auf automatisierte Masseneinreichungen sein. Auch Social-Media-Auftritte und widersprüchliche Online-Profile müssen umso genauer begutachtet werden, sofern kein zwischenmenschlicher Kontakt stattfindet.
Zweitens ist eine durchgängige Identitätsprüfung entlang des gesamten Bewerbungsprozesses essenziell. Moderne ID-Verifikationslösungen ermöglichen eine kontinuierliche Überprüfung, vom ersten Kontakt bis zum Onboarding. Besonders bei Remote-Rollen empfiehlt es sich, Bewerber vor der Geräteauslieferung mit Sanktionslisten abzugleichen und bei kritischen Rollen zusätzliche Authentifizierungsmaßnahmen zu etablieren.
Drittens müssen Remote-Zugriffe technisch abgesichert und überwacht werden. Verdächtige Aktivitäten – wie simultane Logins auf verschiedenen Geräten, ungewöhnliche Arbeitszeiten oder die Nutzung von Remote Management Tools (RMM) – sollten automatisiert erkannt und gemeldet werden. Technische Zugriffsbeschränkungen für Remote-Mitarbeiter können das Risiko zusätzlich verringern.
Fazit: Deepfakes, KI und eine neue Form der Cyberbedrohung
Die von Okta untersuchten Operationen zeigen eindrucksvoll, wie weit der Missbrauch von KI im Kontext staatlich gelenkter Angriffe bereits fortgeschritten ist. Nordkorea setzt GenAI-Technologie nicht nur defensiv, sondern offensiv ein – als Hebel für wirtschaftliche Infiltration. Unternehmen, die auf remote-fähige Arbeitsmodelle setzen, müssen sich dieser Realität bewusstwerden.
Denn die nächste brillante Bewerbung könnte nicht von einem echten Menschen stammen – sondern von einem gut trainierten Bot im Auftrag Pjöngjangs. Ausführliche Details zu den Erkenntnissen finden Sie in diesem Videointerview mit Brett Winterford, Vice President Okta Threat Intelligence sowie in diesem Okta-Blogbeitrag.
Über den Autor: Arkadiusz Krowczynski ist Principal Product Acceleration Specialist bei Okta.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/47/37/4737fe2a0a330ea82f207a71bd63af53/0112150345v1.jpeg "Wir klären, wie die DPRK auf dem Arbeitsmarkt nach Devisen und Einfluss strebt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/22/36/2236df4dd87794a620b5a69e37176441/0123107702v2.jpeg "DVRK-Agenten geben sich als nicht-nordkoreanische Staatsangehörige aus, um sich bei Unternehmen in einer Vielzahl von Branchen weltweit einzuschleusen. (Bild: Александр Бердюгин - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1b/941bc07494ba8bb56ac1c76780294a53/0124159670v1.jpeg "Laut der Google Threat Intelligence Group (GTIG) unterwandern IT-Mitarbeiter aus Nordkorea die Unternehmen in den USA und Europa. Dazu nutzen sie gefälschte Dokumente und Vermittler. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fa/b1/fab1fa2b9293821c822d85254ea303c2/0128262906v2.jpeg "In Video‑Interviews lassen sich Deepfakes entlarven, indem Sie spontane Gesten und Kopfbewegungen abfragen, auf Stimme, Mimik, Lippensynchronität und Reaktionszeit achten. Auch KI‑Tools zur Bild‑ und Tonanalyse können helfen. (Bild: JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/36/2236df4dd87794a620b5a69e37176441/0123107702v2.jpeg "DVRK-Agenten geben sich als nicht-nordkoreanische Staatsangehörige aus, um sich bei Unternehmen in einer Vielzahl von Branchen weltweit einzuschleusen. (Bild: Александр Бердюгин - stock.adobe.com)")