Nordkoreas IT-Spione kapern echte LinkedIn-Profile

Nordkoreanische Cyberagenten infiltrieren mit gestohlenen Identitäten westliche Tech-Firmen. Das neue Verfahren stellt Unternehmen und Sicherheitsbehörden vor massive Probleme.

In einer alarmierenden Eskalation staatlich gesteuerter Cyberkriminalität kapern nordkoreanische IT-Operative jetzt echte LinkedIn-Profile, um Remote-Jobs in westlichen Technologieunternehmen zu ergattern. Diese am 10. Februar 2026 von Analysten identifizierte Taktik markiert eine gefährliche Weiterentwicklung. Statt wie bisher gefälschte Identitäten zu erschaffen, übernehmen die staatlich unterstützten Akteure nun die Kontrolle über Profile echter Fachkräfte – oft mit verifizierten Referenzen. Damit umgehen sie konventionelle Screening-Prozesse und stellen eine doppelte Bedrohung dar: Sie generieren Einnahmen für das Regime in Pjöngjang und betreiben zugleich Wirtschaftsspionage.

Echte Identitäten als perfide Tarnung

Der Kern der neuen Strategie liegt in ihrer Authentizität. Im Gegensatz zu früheren Kampagnen, die durch Ungereimtheiten oder KI-generierte Bilder auffliegen konnten, nutzt diese Welle echte Konten realer Personen. Die Agenten bewerben sich auf Remote-IT-Positionen mit Profilen, die verifizierte Arbeits-E-Mails und Ausweise der imitierten Person enthalten können. Diese Übernahme legitimer Accounts verleiht den Bewerbungen eine Glaubwürdigkeit, die erste Hintergrundchecks übersteht.

Passend zum Thema: Staatlich gesteuerte Angriffe nutzen oft Social‑Engineering und Account‑Übernahmen, um Firmenzugänge zu erlangen. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt die neuesten Angriffsvektoren – von Kontoübernahmen über Phishing bis hin zu Remote‑Recruiting‑Betrug – und liefert konkrete Sofortmaßnahmen für IT‑Verantwortliche und HR-Teams (z. B. 2FA‑Checks, Interview‑Verifizierung und Awareness‑Trainings). Schützen Sie Ihre Organisation proaktiv. Kostenlosen Cyber‑Security‑Leitfaden herunterladen

Die Cybersicherheitsfirma Security Alliance (SEAL) legte dieses operative Vorgehen am 10. Februar offen. Ihre Analyse zeigt: Die nordkoreanischen Akteure erstellen nicht nur Kopien, sondern manipulieren aktiv die echten Accounts ahnungsloser Professionals. Hauptziel sind Remote-Rollen im Technologiesektor, wo die Operative ihre Fähigkeiten einsetzen können, um Anstellungen zu erhalten. Diese Methode ist ein Quantensprung. Frühere Kampagnen wie „Contagious Interview“ mussten Glaubwürdigkeit mühsam aufbauen. Durch die Übernahme etablierter Profile nutzen die Angreifer nun bereits existierendes Vertrauen und Berufserfahrung aus.

Doppelziel: Geld und geheime Daten

Die Motive hinter dieser ausgeklügelten Täuschung sind zweigeteilt und folgen den langfristigen strategischen Zielen der DVRK. Das unmittelbare Ziel ist finanziell. Durch gut bezahlte Tech-Jobs leiten die Operative ihre Gehälter nach Nordkorea weiter – eine stetige Einnahmequelle für das sanktionierte Waffenprogramm des Regimes.

Das zweite, heimtückischere Ziel ist Spionage. Einmal eingestellt, erhält der Agent privilegierten Zugang zu internen Firmennetzwerken, proprietären Informationen und sensiblen Daten. Diese Position kann genutzt werden, um geistiges Eigentum abzuschöpfen, Malware für zukünftige Angriffe zu platzieren oder Aufklärung für gezieltere Spionageaktionen anderer staatlicher Hacking-Einheiten zu betreiben. Nordkoreanische Bedrohungsgruppen wie Lazarus sind für solche mehrgleisigen Angriffe bekannt, die Finanzkriminalität mit Informationsbeschaffung verbinden.

Recruiter im Visier eines neuen Bedrohungsszenarios

Diese Kampagne erhöht die Risiken für Unternehmen und ihre Einstellungsprozesse erheblich. Die Nutzung legitimer, verifizierter Profile bedeutet: Traditionelle Methoden zur Überprüfung von Bewerbern reichen nicht mehr aus. Personalabteilungen müssen jetzt mit der Möglichkeit rechnen, dass ein Bewerber mit einem makellosen LinkedIn-Profil in Wahrheit ein getarnter Staatsagent ist.

Die Herausforderung wird durch die wachsende Raffinesse der Social-Engineering-Taktiken verstärkt. In verwandten Kampagnen nutzten nordkoreanische Hacker KI, um ihr Englisch zu perfektionieren und über monatelange Rekrutierungsprozesse hinweg überzeugend aufzutreten – einschließlich Videointerviews. Die aktuelle Taktik, echte Profile zu nutzen, fügt eine weitere Komplexitätsebene hinzu.

Organisationen werden zu robusteren Verifizierungsmaßnahmen gedrängt. Dazu gehören mehrstufige Interviewprozesse, Identitätsprüfung per Live-Videoanruf und erweiterte Hintergrundchecks, die über Online-Profile hinausgehen. Die Kreuzvalidierung von Bewerberangaben mit anderen Quellen und die direkte Kontaktaufnahme mit angeblichen früheren Arbeitgebern über offizielle Kanäle werden immer kritischer.

Ausblick: Ein endloses Katz-und-Maus-Spiel

Die Übernahme echter LinkedIn-Profile ist das jüngste Kapitel im andauernden Wettlauf zwischen nordkoreanischen Cybergruppen und der internationalen Sicherheitsgemeinschaft. Während Strafverfolgungsbehörden und Unternehmen die Erkennung gefälschter Profile verbessern, passen die Operative ihre Methoden an – subtiler und schwerer aufzudecken.

Für Professionals auf Plattformen wie LinkedIn unterstreicht diese Entwicklung die Bedeutung starker Kontosicherheit. Einzigartige, komplexe Passwörter und Zwei-Faktor-Authentifizierung (2FA) sind essentielle Schutzmaßnahmen. Nutzer sollten zudem auf ungewöhnliche Aktivitäten achten.

Unternehmen müssen damit rechnen, dass sich diese Taktiken weiterentwickeln. Die Verbreitung von Remote-Arbeit schafft einen fruchtbaren Boden für solche Betrugsmaschen. Nordkorea hat einen beharrlichen und einfallsreichen Ansatz bewiesen, dies auszunutzen. Die internationale Gemeinschaft, einschließlich Behörden wie der US-amerikanischen CISA, warnt weiterhin vor der Bedrohung durch DVRK-IT-Arbeiter. Erhöhte Wachsamkeit, Informationsaustausch zwischen Unternehmen und ein sicherheitsorientierter Rekrutierungsansatz sind entscheidend, um das Risiko zu mindern, unbeabsichtigt einen staatlichen Cyber-Angreifer einzustellen.

PS: Kleine, gezielte Maßnahmen bewirken oft das meiste – das Gratis‑E‑Book zeigt, wie Sie Mitarbeiter ohne große Budgets schulen, Phishing‑Risiken senken und Rekrutierungsprozesse technisch und organisatorisch absichern. Viele IT‑Verantwortliche berichten von sofort messbaren Verbesserungen nach Umsetzung der dort beschriebenen vier Schritte. Jetzt Cyber‑Security‑Report kostenlos sichern