Hacker nutzen Deepfakes in Vorstellungsgesprächen

Die Sicherheitsforscher haben bereits zwei derartige Betrugsversuche dokumentiert, bei denen sich Betrüger als Senior Softwareingenieur bei einem Kryptowährungs-Unternehmen beworben haben. Die Untersuchung ergab, dass es sich bei den Hackern um Mitglieder der berüchtigten Chollima-Gruppe handelte, die wiederum Teil der Lazarus-Gruppe ist. Diese ist darauf spezialisiert, Agenten in westliche Unternehmen aus den Bereichen Krypto, Web3 und Fintech einzuschleusen. Aktuelle Untersuchungen ergaben außerdem, dass sie ihr Einsatzgebiet auf die Branchen Bauwesen und Architektur ausgeweitet haben.

Bei den untersuchten Fällen hatten die Angreifer die Identitäten der mexikanischen Ingenieure Mateo und Alfredo und nahmen an Videointerviews teil, wobei sie Echtzeit-KI-Gesichtsfilter einsetzten, um ihr Aussehen zu verändern – was allerdings nicht ganz nach Plan lief, denn während der Interviews versagte die Deepfake-Technologie an einigen Stellen. Das Gesicht des ersten Kandidaten erschien stark gefiltert, sein Mund blieb beim Sprechen geschlossen und seine Zähne bewegten sich nicht im Einklang mit seinen Lippenbewegungen. Im zweiten Fall nutzten die Hacker subtilere Filtertechniken. Jedoch schienen die Nerven des vermeintlichen Bewerbers nicht mitzuspielen. Sein nervöses Verhalten, ständiges Hin- und Herwippen und seine übertriebene Mimik machten die Unternehmen misstrauisch.

Beide Bewerber gaben an, an mexikanischen Universitäten Ingenieurwesen studiert zu haben und in Jalisco bzw. Chihuahua zu wohnen, doch keiner von beiden sprach auch nur ein Wort Spanisch, als sie befragt wurden. Ihre LinkedIn-Profile verschwanden unmittelbar nach Beendigung der Interviews, was mit früheren Infiltrationsversuchen von Chollima übereinstimmt, die vom Quetzal-Team dokumentiert wurden.

Die anschließende Untersuchung ergab, dass beide Bewerbungsgespräche über einen VPN-Server geführt wurden, der häufig von chinesischen Nutzern zur Umgehung der Great Firewall verwendet und zunehmend auch von IT-Mitarbeitern in Nordkorea für betrügerische Aktivitäten genutzt wird. Ihre Verbindungen wurden über europäische IP-Adressen getunnelt, bevor sie bei privaten IP-Adressen in den USA landeten, die Teil von Laptop-Farmen waren, auf die über Remote-Desktop-Tools zugegriffen wurde. Die Agenten versuchten, ihre nordkoreanische Herkunft zu verschleiern, indem sie sich als in den USA ansässige Kandidaten mit privaten Verbindungen ausgaben.

Der jüngste Versuch nordkoreanischer Hacker, ihre Identität zu verschleiern, während sie sich um Stellen in westlichen Unternehmen bewarben, macht deutlich, warum Unternehmen, die Mitarbeiter aus der Ferne einstellen, strenge Hintergrundüberprüfungen durchführen und eng mit Compliance-Teams zusammenarbeiten sollten. Dazu kann die Überprüfung nationaler Ausweise und, soweit gesetzlich zulässig, die Aufzeichnung von Vorstellungsgesprächen gehören, um die Authentizität der Kandidaten zu bestätigen.

Andernfalls können die Folgen schwerwiegend sein. Im Juli wurde eine Frau aus Arizona zu 8,5 Jahren Gefängnis verurteilt, weil sie nordkoreanischen Hackern dabei geholfen hatte, einen IT-Jobbetrug in Höhe von 17 Millionen Dollar zu begehen, der sich gegen mehr als 300 US-Unternehmen richtete. Ein Bericht vom Mai 2025 enthüllte außerdem, dass nordkoreanische Hacker bereits über 88 Millionen Dollar gestohlen hatten, indem sie sich unter falscher Identität als US-amerikanische IT-Fachleute ausgaben.