Nordkoreanische IT-Arbeiter bei britischen Blockchain-Projekte entdeckt: Wird infiltriert?
Betrügerische Tech-Mitarbeiter mit Verbindungen zu Nordkorea weiten ihre Infiltrationen auf Blockchain-Firmen außerhalb der USA aus, nachdem sie von den Behörden verstärkt unter die Lupe genommen wurden. Einige von ihnen sollen laut Google in britische Krypto-Projekte eingedrungen sein.
Jamie Collier, Berater der Google Threat Intelligence Group (GTIG), erklärte in einem Bericht vom 2. April, dass die USA zwar nach wie vor ein Hauptziel seien, dass aber das gestiegene Bewusstsein und die Schwierigkeiten bei der Überprüfung der Arbeitserlaubnisse nordkoreanische IT-Mitarbeiter dazu gezwungen haben, Stellen in Unternehmen außerhalb der USA zu finden.
„Als Reaktion auf das gestiegene Bewusstsein für die Bedrohung innerhalb der Vereinigten Staaten haben sie ein globales Ökosystem betrügerischer Personas geschaffen, um die operative Flexibilität zu verbessern“, so Collier.
„Zusammen mit der Entdeckung von Vermittlern im Vereinigten Königreich deutet das auf den raschen Aufbau einer globalen Infrastruktur und eines Unterstützungsnetzes hin, das die Fortsetzung ihrer Tätigkeit ermöglicht“, fügte er hinzu.
Threat Intelligence Group von Google: Nordkoreas Tech-Mitarbeiter weiten ihre Reichweite aus. Quelle: Google
Die mit Nordkorea verbundenen Arbeiter infiltrieren Projekte, die von der traditionellen Webentwicklung bis hin zu fortschrittlichen Blockchain-Anwendungen reichen, wie z.B. Projekte, die die Entwicklung von Solana und Anchor Smart Contracts beinhalten, so Collier.
Bei einem anderen Projekt, das einen Blockchain-Jobmarktplatz und eine Webanwendung für künstliche Intelligenz auf der Grundlage von Blockchain-Technologien entwickelt, wurde ebenfalls festgestellt, dass nordkoreanische Mitarbeiter beteiligt sind.
„Diese Personen geben sich als legitime Fernarbeiter aus, um Unternehmen zu infiltrieren und Einnahmen für das Regime zu generieren“, so Collier.
„Dadurch sind Unternehmen, die IT-Mitarbeiter aus der DVRK [Demokratische Volksrepublik Korea] einstellen, dem Risiko von Spionage, Datendiebstahl und Störungen ausgesetzt.“
Nordkorea sucht in Europa nach Arbeitsplätzen im Technologiebereich
Neben dem Vereinigten Königreich hat die GTIG laut Collier einen bemerkenswerten Schwerpunkt in Europa festgestellt: Ein Arbeitnehmer verwendet mindestens 12 Personas in ganz Europa, andere verwenden Lebensläufe, in denen Abschlüsse der Universität Belgrad in Serbien und Wohnsitze in der Slowakei aufgeführt sind.
Getrennte GTIG-Untersuchungen fanden Personas, die in Deutschland und Portugal Arbeit suchten, Anmeldedaten für Benutzerkonten europäischer Job-Websites, Anleitungen für die Navigation auf europäischen Job-Websites und einen Händler, der sich auf falsche Pässe spezialisiert hatte.
Gleichzeitig haben die nordkoreanischen Arbeiter seit Ende Oktober die Zahl der Erpressungsversuche erhöht und größere Organisationen ins Visier genommen, was nach Ansicht der GTIG darauf zurückzuführen ist, dass die Arbeiter angesichts des harten Durchgreifens in den USA damit zu kämpfen haben, ihre Einkommensströme aufrechtzuerhalten.
„In diesen Fällen drohten kürzlich entlassene IT-Mitarbeiter damit, die sensiblen Daten ihres ehemaligen Arbeitgebers herauszugeben oder sie einem Konkurrenten zur Verfügung zu stellen. Zu diesen Daten gehörten geschützte Daten und Quellcode für interne Projekte“, so Collier.
Im Januar erhob das US-Justizministerium Anklage gegen zwei nordkoreanische Staatsangehörige wegen ihrer Beteiligung an einem betrügerischen IT-Arbeitssystem, an dem mindestens 64 US-Unternehmen von April 2018 bis August 2024 involviert waren.
Das Büro für die Kontrolle ausländischer Vermögenswerte des US-Finanzministeriums sanktionierte auch Unternehmen, denen es vorwarf, als Fassade für Nordkorea zu fungieren und Einnahmen über IT-Fernarbeitssysteme zu erzielen.
Auch Krypto-Gründer berichten von einer Zunahme der Aktivitäten nordkoreanischer Hacker. Mindestens drei Gründer berichteten am 13. März, dass sie Versuche vereitelt haben, bei denen sensible Daten durch gefälschte Zoom-Anrufe gestohlen werden sollten.
Having audio issues on your Zoom call? That’s not a VC, it’s North Korean hackers.
Fortunately, this founder realized what was going on.
The call starts with a few „VCs“ on the call. They send messages in the chat saying they can’t hear your audio, or suggesting there’s an… pic.twitter.com/ZnW8Mtof4F
— Nick Bax.eth (@bax1337) March 11, 2025
Im August behauptete der Blockchain-Forscher ZachXBT, ein ausgeklügeltes Netzwerk nordkoreanischer Entwickler aufgedeckt zu haben, die 500.000 US-Dollar pro Monat verdienen und für „etablierte“ Krypto-Projekte arbeiten.