Hinter dem Betrug: Nordkoreas Bedrohung für IT-Mitarbeiter

Executive Summary

In einer Ära, in der Fernarbeit zur Norm geworden ist, hat Nordkorea die Gelegenheit ergriffen, Einstellungsprozesse zu manipulieren, indem es betrügerische Anstellungsverhältnisse im IT-Bereich nutzt, um Einnahmen für das Regime zu generieren. Nordkoreanische IT-Mitarbeiter infiltrieren internationale Unternehmen und sichern sich unter falschen Identitäten Remote-Positionen. Diese „Mitarbeiter“ verstoßen nicht nur gegen internationale Sanktionen, sondern stellen auch eine ernsthafte Bedrohung für die Cybersicherheit dar, indem sie Betrug und Datendiebstahl begehen und möglicherweise den Geschäftsbetrieb stören.

Über den Finanzbetrug hinaus werden diese IT-Mitarbeiter mit Cyberspionage in Verbindung gebracht. Die Insikt Group verfolgt PurpleBravo (ehemals Threat Activity Group 120 [TAG-120]), einen mit Nordkorea verbundenen Cluster, der sich mit der Kampagne „Contagious Interview“ überschneidet, die hauptsächlich auf Softwareentwickler in der Kryptowährungsbranche abzielt. Die Kampagne verwendet Malware wie BeaverTail, einen Infostealer, der sensible Informationen sammelt, InvisibleFerret, eine plattformübergreifende Python-Backdoor, und OtterCookie, ein Tool, das verwendet wird, um dauerhaften Zugriff auf kompromittierte Systeme zu etablieren. Mindestens drei Organisationen im weitläufigen Feld der Kryptowährungen wurden zwischen Oktober und November 2024 von PurpleBravo ins Visier genommen: ein Market-Making-Unternehmen, ein Online-Casino und ein Softwareentwicklungsunternehmen.

Die Ergebnisse machen zudem deutlich, dass Nordkorea in andere Betrugsbereiche expandiert, indem es Scheinfirmen gründet, die legitime IT-Unternehmen nachahmen. TAG-121, ein separater Aktivitätscluster, wurde als Betreiber eines Netzwerks dieser Unternehmen in ganz China erkannt. Jedes Frontunternehmen imitiert ein anderes legitimes Unternehmen, indem es große Teile ihrer Website kopiert. Diese Entitäten schaffen eine zusätzliche Ebene der Bestreitbarkeit und erschweren das Aufdecken, wodurch nordkoreanische Akteure globale IT-Lieferketten zunehmend infiltrieren können.

Die Auswirkungen dieser Bedrohung sind weitreichend. Unternehmen, die unwissentlich nordkoreanische IT-Mitarbeiter einstellen, könnten gegen internationale Sanktionen verstoßen und rechtlichen sowie finanziellen Konsequenzen ausgesetzt sein. Noch kritischer ist, dass diese Mitarbeiter mit ziemlicher Sicherheit als Insider-Bedrohungen agieren, indem sie proprietäre Informationen stehlen, Hintertüren einführen oder größere Cyber-Operationen erleichtern. Angesichts der Geschichte Nordkoreas im Bereich Finanzdiebstahl erstrecken sich die Risiken über einzelne Unternehmen hinaus auf das gesamte globale Finanzsystem und die nationalen Sicherheitsinteressen.

Um diese Bedrohungen zu mindern, müssen Organisationen strenge Maßnahmen zur Identitätsüberprüfung ergreifen und sicherstellen, dass Remote-Mitarbeiter einer gründlichen Überprüfung unterzogen werden. Dies umfasst die Anforderung von Videointerviews, notariell beglaubigten Ausweisdokumenten und die kontinuierliche Überwachung von Remote-Mitarbeitern auf Anomalien. Arbeitgeber sollten auch technische Kontrollen implementieren, um unbefugten Zugriff zu erkennen, die Datenexposition zu beschränken und verdächtige Fernverbindungen zu kennzeichnen. Die Sensibilisierung und Schulung von HR-Teams und IT-Sicherheitspersonal sind entscheidend, um zu verhindern, dass diese Akteure in kritische Geschäftsabläufe eindringen.

Obwohl die Bedrohung durch nordkoreanische IT-Mitarbeiter ein Betrugsproblem darstellt, ist sie auch eine Schlüsselkomponente einer ausgeklügelten Cyberstrategie, die ein international sanktioniertes Regime finanziell unterstützt. Da sich diese Operationen weiterentwickeln, müssen Unternehmen, Regierungen und Cybersicherheitsorganisationen zusammenarbeiten, um die Lücken zu schließen, die Nordkorea die Ausnutzung der Remote-Arbeitsumgebung ermöglichen.

Wichtige Erkenntnisse

• Nordkoreas Einsatz von IT-Mitarbeitern zur Sicherung betrügerischer Anstellungen und Durchführung koordinierter Cyber-Kampagnen verdeutlicht die sich entwickelnden Taktiken des Landes, um seine Militärprogramme zu finanzieren und gleichzeitig die globale Sicherheit des geistigen Eigentums zu untergraben.
• Die Insikt Group schätzt, dass PurpleBravo mindestens sieben Unternehmen ins Visier genommen hat, von denen drei im Kryptowährungssektor tätig sind, darunter ein Market-Making-Unternehmen, ein Online-Casino und ein Softwareunternehmen.
• Die Insikt Group hat Beweise dafür gefunden, dass PurpleBravo Astrill VPN zur Verwaltung ihrer Command-and-Control-Server (C2) verwendet.
• Es wurde festgestellt, dass PurpleBravo Stellenanzeigen auf mindestens drei Job-Websites, Telegram und GitHub veröffentlichte.
• Die Insikt Group hat mindestens sieben mutmaßlich mit Nordkorea verbundene Tarnfirmen identifiziert, die in China tätig sind und sich als legitime IT-Unternehmen in China, Indien, Pakistan, der Ukraine und den Vereinigten Staaten (USA) ausgeben.
• Organisationen sollten robuste technische Schutzmaßnahmen implementieren, wie z. B. die Deaktivierung von Remote-Desktop-Software, wo möglich, die regelmäßige Überprüfung offener Ports in Netzwerken, die Überwachung von Insider-Bedrohungen und die Geolokalisierung von Geräten.
• Die Insikt Group erwartet, dass Gruppen wie PurpleBravo und TAG-121 weiterhin die Remote-Arbeitsumgebung ausnutzen und dadurch die globalen IT-Lieferketten und das geistige Eigentum gefährden werden.
• Nordkoreas Verlagerung hin zu betrügerischer Fernarbeit und Scheinfirmen wird voraussichtlich die traditionellen Einstellungsprotokolle obsolet machen, was Unternehmen und Regierungen dazu veranlasst, strengere Identitätsüberprüfungen, verbesserte Sicherheitsmaßnahmen für Fernarbeit und einen robusten internationalen Informationsaustausch einzuführen, um dieser wachsenden Bedrohung entgegenzuwirken.

Hintergrund

Am 23. Januar 2025 hat das US-Justizministerium (US DOJ) Anklage gegen zwei nordkoreanische Staatsangehörige und drei Unterstützer wegen Betrugs durch Telearbeiter, der das nordkoreanische Regime bereicherte, erhoben. In der Anklageschrift beschrieb das US-Justizministerium ein sechsjähriges Komplott, bei dem zwei US-Bürger und ein mexikanischer Staatsangehöriger mit nordkoreanischen IT-Mitarbeitern konspirierten, um aus der Ferne für mindestens 64 US-Unternehmen zu arbeiten. Zahlungen von zehn Unternehmen generierten mindestens 866.255 USD an Einnahmen, die über ein chinesisches Bankkonto gewaschen wurden. Neben den Anklagen finden sich in offenen Quellen regelmäßig Geschichten von Unternehmen und Einzelpersonen, die auf nordkoreanische IT-Mitarbeiter gestoßen sind (1, 2, 3). Abgesehen von Sanktionsverstößen stellt die Bedrohung durch diese Mitarbeiter, sei es durch den Diebstahl sensibler Daten oder die Installation von Malware auf internen Systemen, Unternehmen vor einzigartige Herausforderungen, insbesondere in Remote-Arbeitsumgebungen.

Nordkorea ist immer noch aufgrund der strengen Kontrolle des Regimes über Güter, Menschen und Informationen sowie der gegen das Land verhängten internationalen Sanktionen stark von der Außenwelt isoliert. Trotzdem ist die Führung in Pjöngjang sehr versiert darin, neue Technologien auszunutzen, um ihre Operationen zu finanzieren. Als die Sanktionen verschärft wurden, passte sich das Regime an und hat seine illegalen Aktivitäten, einschließlich Schmuggel und Cyberkriminalität, intensiviert. In den letzten Jahren hat das Regime bedeutende Erfolge beim Diebstahl von traditionellen Finanzinstituten und digitalen Vermögenswerten wie Kryptowährungen erzielt. Zwischen 2020 und 2024 schuf der Anstieg der Fernarbeit neue Möglichkeiten für Nordkorea, qualifizierte IT-Mitarbeiter einzusetzen, die globale Unternehmen unter falschen Identitäten infiltrieren. Ihre Aktivitäten unterstützen direkt die Militärprogramme des Regimes und stellen zugleich eine erhebliche Bedrohung für Branchen dar, die auf geistiges Eigentum angewiesen sind.

Die Forschung zu nordkoreanischen IT-Arbeitern hat sich auf folgende Bedrohungsaspekte konzentriert: Nordkoreanische IT-Arbeiter, die über Proxys betrügerische Anstellungen erlangen; nordkoreanische Tarnfirmen, oft im Bereich der Softwareentwicklung, die legitime Organisationen nachahmen; und falsche Beschäftigungsmöglichkeiten, die auf Softwareentwickler in den Bereichen Kryptowährung und KI abzielen, neben anderen Branchen. Andere Forschungen haben Verbindungen zwischen IT-Mitarbeitern und laufenden bösartigen Kampagnen nordkoreanischer Bedrohungsakteure festgestellt.

Bedrohungsanalyse

PurpleBravo

Die Kampagne „Contagious Interview“, die erstmals im November 2023 dokumentiert wurde, richtete sich hauptsächlich an Softwareentwickler im Bereich Kryptowährungen und wurde Nordkorea zugeschrieben. Die Kampagne nutzte den JavaScript-Infostealer BeaverTail, die plattformübergreifende Python-Backdoor InvisibleFerret und zuletzt OtterCookie, eine neue Backdoor, die im Dezember 2024 identifiziert wurde. Die für diese Aktivität verantwortliche Gruppe ist in Open-Source-Quellen als CL-STA-0240, Famous Chollima und Tenacious Pungsan bekannt. Die Insikt Group hat diesem Aktivitätscluster die Bezeichnung PurpleBravo (ehemals TAG-120) zugewiesen.

Betrügerische Profile von PurpleBravo

Am 3. Dezember 2024 veröffentlichte ein Entwickler einen Blog über seine Erfahrungen mit einem mutmaßlichen PurpleBravo-Operator. Eine Person, die behauptete, ein Personalvermittler zu sein, kontaktierte ihn bezüglich eines Stellenangebots und führte dann ein Vorstellungsgespräch durch. Während des Interviews bat der Interviewer den Entwickler, eine Programmieraufgabe aus einem Repository herunterzuladen. Der Entwickler erkannte, dass sich eine bösartige Funktion in der Datei befand und beendete das Vorstellungsgespräch. Obwohl der Entwickler die Malware oder den Akteur nicht zuordnet, bewertet die Insikt Group mit hoher Zuverlässigkeit, dass es sich bei der Datei um einen BeaverTail-Infostealer handelt.

Der Interviewer nutzte ein LinkedIn-Konto mit dem Namen Javier Fiesco, der sich selbst als CTO von AgencyHill99 ausgibt. Weitere Ermittlungen zu Javier Fiesco ergaben, dass eine Person mit demselben Namen für Arbeiten auf remote3, einer Jobbörse für Web3-Entwicklung, verfügbar ist. Die Website agencyhill99[.]com wurde am 13. September 2024 bei Hostinger registriert. Anfang Februar 2025 wurde diese Website nicht mehr aufgelöst, aber zuvor wurde auf ihr eine Hostinger-Landingpage angezeigt. Recherchen zu AgencyHill99 ergaben eine Stellenausschreibung, die einen Entwickler mit Blockchain-Kenntnissen auf levels[.]fyi suchte, mit den folgenden Kontaktinformationen:

• Kontaktieren Sie uns: alexander@agencyhill99[.]com
• Recruiter: vision.founder1004@gmail[.]com

Durch das Schwenken auf den Text in der Stellenbeschreibung wurden zwei private Stellenausschreibungen auf Upwork gefunden (1, 2). Außerdem wurde auf der Website DoraHacks, einem Hackathon-Organisator, Anbieter von „Kopfgeld für Softwarefehler“ und Sponsor, ein Profil mit dem Namen Lucifer und einem scheinbar von KI generierten Headshot gefunden, der für AgencyHill99 arbeitet. Das Profil auf DoraHacks gibt an, dass AgencyHill99 einen Entwickler einstellen möchte. Die Insikt Group entdeckte auch ein Unternehmen mit dem Namen Agencyhill99 auf der Website Intch, einer Plattform für Teilzeit- und Fernarbeit. Das Unternehmen hat eine „Teilzeitstelle als IT-Entwickler“ von einer Person namens Newton Curtis ausgeschrieben, die als Personalvermittler bei AgencyHill99 tätig ist.

Abbildung 1: Konto des PurpleBravo-Betreibers auf DoraHacks (Quelle: DoraHacks)

Insikt Group hat mehrere Beiträge in Telegram-Kanälen von Personen gefunden, die unter der E-Mailadresse @agencyhill99[.]com Stellenanzeigen bewerben. Nachfolgend finden Sie eine Zusammenfassung der Beiträge:

• Am 16. September 2024 hat ein Konto mit dem Benutzernamen Dale_V und der E-Mail-Adresse ayat@agencyhill99[.]com im Telegram-Kanal „freelancerclients“ gepostet, dass sie einen Entwickler einstellen möchten.
• Am 26. September 2024 hat ein Konto mit dem Benutzernamen jaxtonhol und der E-Mail-Adresse ysai@agencyhill99[.]com. im Telegram-Kanal „indeedemploijobeur“ gepostet, dass sie auf der Suche nach einem Entwickler sind. Am selben Tag hat der Account Dale_V mit der E-Mail-Adresse ysai@agencyhill99[.]com im Telegram-Kanal „cryptolux_b“ gepostet, dass sie einen Blockchain-Entwickler einstellen möchten. Sie haben die gleiche Nachricht in den Kanälen „itkita“, „andexzuxiaomichat“ und „usvacancy“ gepostet. Am 27. September 2024 postete Dale_V dieselbe Nachricht in den Kanälen „crypto_brazil“ und „cryptolux_br“.
• Am 2. Oktober 2024 postete Dale_V dieselbe Nachricht mit einer neuen E-Mail-Adresse, sam@agencyhill99[.]com, in den Kanälen „fortifiedx_chat“, „family_indonesia_uae_ph“, „cryptolux_br“ und „freelancerclients“.
• Am 3. Oktober 2024 postete ein Benutzer in einem indonesischsprachigen Telegram-Kanal einen Screenshot einer E-Mail-Nachricht, die er von PurpleBravo-Operatoren erhalten hatte.
• Am 9. Oktober 2024 veröffentlichte Dale_V Stellenanzeigen in den Kanälen „andexzuxiaomichat“, „family_indonesia_uae_ph“, „cryptolux_br“, „crypto_brazil“ und „freelancerclients“.
• Am 22. Oktober 2024 postete Dale_V im Telegram-Kanal „hiringofm“ und suchte nach Personen, die bei der Pflege eines Spiels namens Destiny War helfen sollen. Er fügte den X-Link hinzu: hxxps://twitter[.]com/destinywarnft. Es ist unklar, ob der Akteur dieses X-Konto oder dieses Spiel kontrolliert.
• Am 13. November 2024 postete der Telegram-Benutzer jaxtonhol im Telegram-Kanal „near_jobs“ eine Anfrage nach Blockchain-Ingenieuren. Der gleiche Benutzer postete erneut am 7. Dezember 2024 im selben Kanal mit der E-Mail-Adresse ysai@agencyhill99[.]com.
• Am 30. November 2024 postete ein Telegram-Nutzer die Frage, ob ein Stellenangebot auf LinkedIn von dem oben erwähnten Konto Javier Feisco, das mit Agencyhill99 verbunden ist, legitim sei und teilte einen Screenshot der Nachricht.

GitHub Repository

Insikt Group entdeckte ein GitHub-Repository namens agencyhill99 mit der E-Mail-Adresse admin@agencyhill99[.]com. Ein GitHub-Benutzer, dev-astro-star, hat zwischen dem 9. und 19. Oktober 2024 mehrere Commits an das Repository vorgenommen. Basierend auf den Commits scheint es, dass die Website Firebase verwendet hat, einen Google-Backend-Dienst für Webanwendungen. Der Benutzer hat eine Schaltfläche hinzugefügt, um eine Datei über den Google-Drive-Link https://drive.google[.]com/uc?id=166zcmpqj-C7NPltm4iwRolz8XuxqZIXt herunterzuladen, der nicht mehr zugänglich ist. Die E-Mail-Adresse admin@agencyhill99[.]com wurde ebenfalls zum Repository hinzugefügt, zusammen mit dem Telegram-Kanal hxxps://t[.]me/+2AurfGZWxZo0MDgx, der ebenfalls nicht mehr aktiv ist. Der Benutzer fügte auch einen Download-Link zu hxxp://65.108.20[.]73/BattleTank[.]exe hinzu, welcher nicht mehr aktiv ist und später auf hxxp://65.108.20[.]73[:]3000/BattleTank[.]exe aktualisiert wurde. Port 3000 war vom 20. Oktober 2024 bis zum 22. November 2024 auf 65.108.20[.]73 geöffnet. Der Link wurde dann auf hxxp://locahost[:]3000/BattleTank[.]rar aktualisiert.

PurpleBravo-Malware und Infrastruktur

PurpleBravo verwendet die Malware-Familien BeaverTail, InvisibleFerret und OtterCookie. BeaverTail ist eine Malware-Familie, die anfänglich über NPM-Pakete als JavaScript-Nutzlast verbreitet wurde und später als ausführbare Dateien und Downloader, die auf Windows- und macOS-Umgebungen abzielen. BeaverTail fungiert außerdem als Infostealer und sammelt Informationen über Kryptowährungs-Wallets und Browserdaten. InvisibleFerret ist eine Sammlung von Post-Compromise-Payloads, die gemeinsam als Hintertür in Opferumgebungen fungieren. InvisibleFerret führt zusätzliche bösartige Nutzdaten in die Umgebung des Opfers ein, stiehlt Informationen und erstellt Fingerabdrücke innerhalb der Umgebung des Opfers und nutzt legitime Protokolle und Software für die C2-Kommunikation. Wie InvisibleFerret ist OtterCookie eine Post-Compromise-Malware-Familie, die als Hintertür verwendet wird und C2-Konnektivität über Socket[.]IO herstellt, Shell-Befehle von C2-Servern erhält und ausführt und sensible Daten des Opfers exfiltriert.

Die Insikt Group analysierte die Malware-Samples BeaverTail, InvisibleFerret und OtterCookie (siehe Anhang B für die zugehörigen Datei-Hashes). Die BeaverTail-Samples wurden als PE-Varianten identifiziert, die auf Windows-Umgebungen abzielen. Diese Proben enthielten URLs, die mit freeconference[.]com, einer legitimen Konferenz-Website, verlinkt waren, was mit den Erkenntnissen von Unit42 übereinstimmt, dass Contagious Interview-Payloads als FreeConference-Executables auftreten. Die OtterCookie-Samples waren zwei separate Versionen der Malware-Familie, jedoch ergab die statische Analyse dieser Samples Zeichenfolgen, die die Fähigkeit beider Samples belegten, System-Fingerprinting-Informationen zu sammeln und an die C2-Server der Angreifer zu senden. Diese Zeichenfolgen deuteten darauf hin, dass OtterCookie in der Lage ist, Kryptowährungsanlagen und sensible Informationen in bestimmten Dateitypen durch die Verwendung von Regex-Mustern zu identifizieren, einschließlich ausführbarer Dateien, Fotos sowie Konfigurations- und Umgebungsdateien.

Die analysierten InvisibleFerret-Beispiele waren Python-Skripte mit den folgenden Funktionen:

• Bestimmung des Standorts eines Opfergeräts durch lokale IP-Adressabfrage
• Fingerprinting-Gerätedetails (Benutzer und Hostname)
• Verbindung zu einer Base64-codierten C2-Adresse über HTTP-POST-Anfragen herstellen
• Durchführung der lokalen Verzeichniserkennung mit fest codierten Zeichenfolgen
• Eine Reverse-Shell zur Verwaltung von SSH-Sitzungen und zur Datenexfiltration erstellen
• Kopieren von Zwischenablagedaten, Keylogging und Verfolgung von Mausbewegungen.

Frühere Samples von InvisibleFerret wurden von Zscaler analysiert, die eine zweiteilige Infektionskette beschrieben, bei der die anfängliche Aufklärung über HTTP-Verkehr erfolgte und FTP zur Datenexfiltration verwendet wurde, wie in Abbildung 2 dargelegt.

Abbildung 2: InvisibleFerret-Infektionskette (Quelle: Recorded Future und Zscaler)

Die Insikt Group identifizierte zwischen August 2024 und Februar 2025 21 PurpleBravo-Server (siehe Anhang B für die vollständige Liste). Die Mehrheit der Server verwendet Tier[.]Net Hosting, wobei Majestic Hosting, Stark Industries, Leaseweb Singapore und Kaopu Cloud HK ebenfalls in dieser Kampagne verwendet werden. Die Insikt Group hat zuvor beobachtet, dass andere nordkoreanische Bedrohungsgruppen viele dieser Hosting-Anbieter bevorzugen. Zusätzlich zu den C2-Servern hat die Insikt Group mithilfe von Recorded Future Network Intelligence zwischen September 2024 und dem 13. Februar 2025 mindestens sieben mutmaßliche Opfer beobachtet. Die Opfer befinden sich in mindestens sechs Ländern, darunter die Vereinigten Arabischen Emirate, Costa Rica, Indien, Vietnam, die Türkei und Südkorea. Open-Source-Forschung hat Astrill VPN als einen bevorzugten Dienst für nordkoreanische IT-Mitarbeiter identifiziert, mit Beweisen, dass sie den Dienst mit Fernverwaltungstools nutzen. Die Insikt Group beobachtete auch Netzwerkverkehr zwischen bekannten Astrill VPN-Endpunkten und PurpleBravo-Servern, was diese Verbindung untermauert.

Abbildung 3: Standort der PurpleBravo-Opfer (Quelle: Recorded Future)

Mindestens drei Opfer im Bereich der Kryptowährungen wurden in den unten zusammengefassten Ergebnissen identifiziert:

• Am 3. Oktober 2024 beobachtete die Insikt Group wahrscheinlich Aufklärungsverkehr zwischen einem BeaverTail C2 und einem marktführenden Unternehmen im Bereich Kryptowährungen mit Sitz in den Vereinigten Arabischen Emiraten. Kurz nach dem Aufklärungsverkehr beobachteten wir wahrscheinlich exfiltrierenden FTP-Verkehr zwischen denselben IP-Adressen.
• Am 15. Oktober 2024 beobachtete die Insikt Group einen wahrscheinlichen Aufklärungsverkehr zwischen einem BeaverTail C2 und einem Glücksspielunternehmen, das Online-Spiele anbietet und Spielautomaten im Kryptowährungsbereich verkauft. Das Unternehmen ist in Costa Rica registriert. Am 25. und 26. November 2024 wurde Aufklärungsverkehr, gefolgt von FTP-Exfiltrationsverkehr, zwischen dem C2 und der Infrastruktur des Unternehmens beobachtet.
• Am 2. Oktober 2024 beobachtete die Insikt Group potenziellen FTP-Exfiltrationsverkehr zwischen einem BeaverTail C2 und einem Softwareentwicklungsunternehmen mit Sitz in Indien, das Blockchain-, KI- und Mobilanwendungen entwickelt.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.