Nordkoreanische Hacker unterwandern gezielt Bewerbungsprozesse, um IT-Abwehrmaßnahmen zu umgehen und strategische Positionen in Unternehmen zu besetzen. Ein detaillierter Infiltrationsversuch bei der Kryptobörse Kraken zeigt, wie Sicherheitsexperten verdächtige Bewerber erkennen – und liefert praktische Präventivstrategien gegen raffinierte staatliche Angriffe.
Ein nordkoreanischer Agent versuchte bei der Kryptoplattform Kraken, über den Recruitingprozess Zugriff auf sensible Systeme zu erhalten.
Was passiert, wenn staatliche Hacker nicht mehr durch die Hintertür eindringen, sondern sich ganz offiziell bewerben? Der Fall eines nordkoreanischen Agenten, der versuchte, durch den Recruitingprozess Zugang zu sensiblen Systemen zu erlangen, offenbart eine alarmierende neue Taktik im Cyberkrieg. Die Sicherheitsexperten der Kryptoplattform Kraken wendeten das Blatt und teilen ihre Erkenntnisse bewusst mit der Branche, denn nur durch gemeinsamen Wissensaustausch können solche Angriffe wirksam abgewehrt werden. Ein aufschlussreicher Fallbericht mit konkreten Sicherheitsempfehlungen für Unternehmen im digitalen Zeitalter.
Laut einer gemeinsamen Erklärung der Vereinigten Staaten, Japans und Südkoreas vom Juni 2025 haben allein nordkoreanische Hackergruppen im vergangenen Jahr Kryptowährungen im Wert von 659 Millionen US-Dollar gestohlen. Nach Schätzungen der Vereinten Nationen hat Nordkorea in den letzten sieben Jahren durch diese Cyberoperationen rund 3,6 Milliarden Dollar erbeutet. Diese Bedrohung erstreckt sich jedoch auf alle Branchen, nicht nur auf Finanz- und Kryptounternehmen. Über den direkten Diebstahl hinaus streben diese Angreifer zunehmend Arbeitsplätze in den Zielunternehmen an. Damit sind verschiedene Absichten verbunden: legitime Gehaltszahlungen zur Finanzierung des Regimes zu erhalten, strategische Informationen über Unternehmensabläufe zu sammeln sowie Schwachstellen zu identifizieren, die andere Hacker später ausnutzen können. Die betroffenen Unternehmen erleiden nicht nur erhebliche finanzielle Schäden, sondern haben auch mit einem massiven Vertrauensverlust zu kämpfen. Während die technischen Schutzmaßnahmen kontinuierlich ausgebaut werden, nutzen staatlich unterstützte Akteure zunehmend diese alternativen Zugangswege, die die etablierten Sicherheitskontrollen umgehen.
Eine zunehmend beliebte, aber oft unterschätzte Angriffsmethode zielt auf den Personalbeschaffungsprozess. Anstatt technische Sicherheitsbarrieren zu durchbrechen, streben die Angreifer danach, ganz offiziell „durch die Vordertür“ einzutreten und reguläre Positionen zu besetzen. Diese Vorgehensweise eröffnet ihnen potenziell Zugriff auf kritische Systeme und vertrauliche Daten, ohne dabei technische Sicherheitsvorkehrungen aushebeln zu müssen.
Der Fall Kraken: Ein nordkoreanischer Infiltrationsversuch
Unser Sicherheitsteam bei Kraken, einer der weltweit führenden Kryptowährungsbörsen, deckte kürzlich einen solchen Infiltrationsversuch durch einen nordkoreanischen Hacker auf. Der Vorfall begann, als unser Sicherheitsteam von Industriepartnern Informationen über aktive Rekrutierungsversuche nordkoreanischer Akteure im Kryptosektor erhielt, einschließlich einer Liste potenziell gefährdeter E-Mail-Adressen.
Beim Abgleich unserer Rekrutierungsdatenbank mit dieser Liste entdeckten wir eine Übereinstimmung mit einem Bewerber, der sich unter dem Pseudonym „Steven Smith“ auf eine vakante Ingenieursposition beworben hatte.
Statt den verdächtigen Bewerber sofort abzulehnen, entschieden wir uns für einen anderen Weg: Wir führten den Bewerbungsprozess unter ständiger Beobachtung kontrolliert weiter. Diese Vorgehensweise ermöglichte uns, die Taktiken des Angreifers zu dokumentieren und wertvolle Erkenntnisse zu gewinnen.
Bei der ersten Überprüfung des Bewerbers fielen mehrere Ungereimtheiten auf. Der Kandidat meldete sich zum Erstgespräch mit einem anderen Namen als im Lebenslauf angegeben. Während des Telefongesprächs bemerkten wir Stimmwechsel, die auf eine Echtzeit-Unterstützung von außen hindeuteten.
Identifikation und Untersuchung: Die analytische Aufdeckung
Nach Entdeckung der ersten Auffälligkeiten führte unser Sicherheitsteam umfassende OSINT-Analysen (Open Source Intelligence) durch. Diese ergaben, dass die E-Mail-Adresse des Kandidaten zu einem Netzwerk gefälschter Identitäten gehörte, das bereits zur Infiltration mehrerer Firmen genutzt wurde. Eine der verknüpften Identitäten war sogar als ausländischer Agent auf einer Sanktionsliste zu finden.
Unsere technische Prüfung deckte weitere verdächtige Muster auf: Die Nutzung entfernter Mac-Desktops in Kombination mit VPN-Verbindungen zur Verschleierung des tatsächlichen Standorts, kompromittierte E-Mail-Adressen in öffentlichen Profilen sowie manipulierten Ausweisdokumente, die mit hoher Wahrscheinlichkeit auf Datenbeständen eines zwei Jahre zurückliegenden Identitätsdiebstahls basierten.
Im weiteren Verlauf des Bewerbungsverfahrens bauten wir gezielte Prüfungen ein. Das letzte Gespräch fand am 31. Oktober statt, und wir nutzten den Halloween-Anlass für eine Testfrage. Als der Interviewer beiläufig auf die Feierlichkeiten am Abend einging, zeigte der Bewerber eine auffällige Unkenntnis, ein deutlicher Hinweis auf mangelnde Vertrautheit mit dem kulturellen Kontext. Besonders aufschlussreich war auch die Fragen zum Wohnort: Obwohl der Kandidat Houston als seinen Wohnsitz angab, konnte er bei Nachfragen weder die Stadt beschreiben noch lokale Restaurantempfehlungen geben. Diese kontextuellen Überprüfungsmethoden überforderten den Angreifer sichtbar.
Konsequenzen und Präventivmaßnahmen für Unternehmen
Aus diesem dokumentierten Fall lassen sich mehrere konkrete Sicherheitsmaßnahmen ableiten. Personaleinstellungsprozesse müssen als sicherheitskritische Komponenten behandelt werden. Herkömmliche technische Bewertungen sollten durch unvorhersehbare Echtzeit-Überprüfungen ergänzt werden, da generative KI zunehmend zur Umgehung standardisierter Tests eingesetzt wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Eine abteilungsübergreifende Sicherheitskultur ist unverzichtbar: Personalabteilungen sollten im Erkennen verdächtiger Muster geschult werden. Überprüfungsverfahren sollten regelmäßig aktualisiert werden, um berechenbare Muster zu vermeiden. Der branchenweite Austausch zu Bedrohungsakteuren kann die gemeinsame Abwehrfähigkeit deutlich stärken.
Die Bedrohungslage entwickelt sich ständig weiter. Staatlich unterstützte Angreifer setzen vermehrt auf direkte Unterwanderungsmethoden. Wirksame Cybersicherheit erfordert daher einen ganzheitlichen Ansatz, der technische Schutzmaßnahmen mit der Absicherung menschlicher Prozesse verbindet. Bei Kraken teilen wir unsere Erfahrungen bewusst mit der gesamten Branche und Sicherheitsverantwortlichen verschiedener Sektoren, da wir überzeugt sind, dass nur durch offenen Austausch und gemeinsame Transparenz die zunehmend komplexen Angriffe erfolgreich abgewehrt werden können. Die Verankerung von Sicherheitsprinzipien in allen Unternehmensbereichen ist unerlässlich, um potenzielle Bedrohungen frühzeitig zu erkennen. Das Grundprinzip „Vertrauen ist gut, Kontrolle ist besser“ bildet das Fundament einer robusten Sicherheitsstrategie, die aktuellen und künftigen Bedrohungen gewachsen ist.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5b/94/5b940fd0f2a907c9b981ad715bd1a1a7/0128740476v2.jpeg "Die betroffenen D-Link-Router haben 2020 ihr End-of-Life erreicht. Deshalb wird es von D-Link keine Sicherheitsupdates geben, um CVE-2026-0625/EUVD-2026-0944 zu schließen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea15d2614c54a6da1e18299428cc95/0128851547v2.jpeg "Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/d7/afd75f951f4396db9cdb419b378b5699/0128927763v2.jpeg "Das BKA und die ZIT fahnden nach dem Anführer von Black Basta, einer der aktivsten Ransomware-Gruppen der Welt. (Bild: arrow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/f2/a0f210f50889348c9b06243cf16c294f/0128830499v2.jpeg "Watchguard vereint mit einem neuen Zero Trust Bundle drei Sicherheitsbereiche in einer cloudbasierten Plattform. MSP erhalten damit ein skalierbares Servicemodell ohne VPN-Engpässe und komplexe Einzellösungen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/38/0e/380e0d4a17254692074ed5872ffc3908/0128878981v1.jpeg "Integrierte Endpoint-Plattformen sollen ITOps und SecOps eine gemeinsame Arbeitsbasis bieten und Reaktionszeiten verkürzen. (Bild: © Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/72/e8/72e8ce3f4b573d059393e5a5991e9e2f/0128518662v2.jpeg "Phishing nutzt psychologische Trigger und bleibt trotz Technik gefährlich. Vernetzte Abwehr mit Micro-Trainings, einfachen Meldemechanismen und E-Mail-Authentifizierung senkt Risiken. (Bild: © mk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/47/37/4737fe2a0a330ea82f207a71bd63af53/0112150345v1.jpeg "Wir klären, wie die DPRK auf dem Arbeitsmarkt nach Devisen und Einfluss strebt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/22/36/2236df4dd87794a620b5a69e37176441/0123107702v2.jpeg "DVRK-Agenten geben sich als nicht-nordkoreanische Staatsangehörige aus, um sich bei Unternehmen in einer Vielzahl von Branchen weltweit einzuschleusen. (Bild: Александр Бердюгин - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1b/941bc07494ba8bb56ac1c76780294a53/0124159670v1.jpeg "Laut der Google Threat Intelligence Group (GTIG) unterwandern IT-Mitarbeiter aus Nordkorea die Unternehmen in den USA und Europa. Dazu nutzen sie gefälschte Dokumente und Vermittler. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/36/2236df4dd87794a620b5a69e37176441/0123107702v2.jpeg "DVRK-Agenten geben sich als nicht-nordkoreanische Staatsangehörige aus, um sich bei Unternehmen in einer Vielzahl von Branchen weltweit einzuschleusen. (Bild: Александр Бердюгин - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/37/4737fe2a0a330ea82f207a71bd63af53/0112150345v1.jpeg "Wir klären, wie die DPRK auf dem Arbeitsmarkt nach Devisen und Einfluss strebt. (Bild: Vogel IT-Medien)")