Cyber-Risiko: Fake IT-Mitarbeiter (Tipps für HR und SOC included)

Die Schatten-Kollegen: Warum dein neuer Senior-Entwickler vielleicht für Pjöngjang arbeitet

Stell dir vor, du hast gerade den perfekten Senior-Entwickler für dein Team eingestellt. Die Video-Interviews waren beeindruckend, der Lebenslauf makellos und die technische Expertise scheint genau das zu sein, was dein Unternehmen braucht. Doch kurz nach dem ersten Login schlägt dein EDR-System Alarm: Der neue Kollege versucht, einen Infostealer zu installieren und Sessions zu manipulieren.

Was wie ein Cyber-Thriller klingt, ist bittere Realität. Die Demokratische Volksrepublik Korea (DPRK) betreibt ein globales Netzwerk von tausenden hochqualifizierten IT-Fachkräften, die unter falschen Identitäten in westliche Unternehmen einsickern.

Ihr Ziel: Devisen für das nordkoreanische Waffenprogramm zu generieren und strategische Zugänge für Spionage oder Erpressung zu schaffen. Allein im Jahr 2025 waren nordkoreanische Hacker für Kryptowährungs-Diebstähle in Rekordhöhe von über 2 Milliarden US-Dollar verantwortlich.

In diesem Beitrag zeige ich dir, wie diese „Shadow IT Workers“ operieren und wie du sie anhand organisatorischer und technischer Indikatoren (IoCs) entlarvst. Eine sehr spannende Podcastfolge von John Hubbard und Zakery Stufflebeam mit dem Titel „Infiltration Alert! How to Catch Fake IT Employees in Your Network with Zak Stufflebeam“ (BLUEPRINT Podcast: https://johnhubbard.io/blueprint-podcast/) geht hier noch tiefer rein. Einige IoCs sind aus diesem Podcast.

Die Architektur der Täuschung

Die Angreifer nutzen gestohlene oder „gemietete“ Identitäten (oft von Bürgern des jeweiligen Landes in dem das Unternehmen arbeitet, oft auch US-Bürger), um Hintergrundprüfungen zu bestehen. Mit Hilfe von generativer KI werden Lebensläufe poliert und Echtzeit-Deepfakes in Video-Interviews eingesetzt, um die Täuschung perfekt zu machen. Ich habe auch Berichte gelesen, in welchen die Mitarbeiter als Freelancer über fiverr oder andere Freelance-Plattformen angeworben wurden. Sobald der Arbeitsvertrag unterschrieben ist, wird der Firmenlaptop an eine sogenannte „Laptop-Farm“ im Zielland geschickt. Dort installieren Helfer Remote-Access-Software (RMM), über die der nordkoreanische Arbeiter – meist aus China oder Russland – auf das Gerät zugreift. Für dein SOC sieht es so aus, als würde der Mitarbeiter ganz normal von seinem gemeldeten Wohnsitz aus arbeiten.

Ich möchte mit dem Beitrag ein paar organisatorische und technische Indicators of Compromise mitgeben, sodass jeder praxisnah damit arbeiten kann und seine Cybersicherheit nachaltig verbessern kann.

1. Organisatorische Indicators of Compromise (HR & Recruiting)

Diese Indikatoren sollten bereits während des Recruiting-Prozesses kritisch geprüft werden:

  • Auffälligkeiten im Lebenslauf: Identische Lebensläufe bei verschiedenen Bewerbern oder die Nutzung von Markdown-Symbolen (wie doppelte Sternchen **), die auf unsauber gerenderte KI-Texte hindeuten. Oder auch: Widersprüche zwischen Bildungsabschlüssen und behaupteter Arbeitserfahrung
  • Anomalien bei Video-Interviews: Verweigerung der Kamera, Nutzung von Filtern oder mangelnde Lippensynchronität (Deepfake-Anzeichen); Hintergrundgeräusche, die nach einem Callcenter klingen
  • Logistik & Finanzen: Wunsch, die Hardware an eine andere Adresse als die im Ausweis angegebene zu senden (Reshipping)
  • Verzicht auf Sozialleistungen: Um das Netto-Gehalt zu maximieren, werden oft alle Versicherungs- und Rentenoptionen abgewählt. Gehaltszahlungen werden sofort auf Krypto-Börsen oder Dienste wie Payoneer transferiert.
  • Kommunikationsmuster: Vermeidung von synchronen Gesprächen; bevorzugte Kommunikation über Slack/Teams-Chat; Unfähigkeit, spontane Fragen zum behaupteten Wohnort (Wetter, lokale Sportteams) zu beantworten

2. Technische Indicators of Compromise (SOC & Monitoring)

Für das Security Operations Center sind folgende technische Spuren entscheidend:

  • Unerwartete Fernwartungs-Tools (RMM): Installationen von AnyDesk, TeamViewer, RustDesk oder LogMeIn, insbesondere bei Entwicklern mit Admin-Rechten. Insbesondere im Abgleich mit den eigenen und erlaubten RMM-Tools
  • Netzwerk-Anomalien: Einwahl über kommerzielle VPN-Provider (Mullvad, Astrill) oder residente Proxies
  • Impossible Travel: Anmeldung von Standorten, die geografisch nicht mit dem Wohnort übereinstimmen (z. B. IP aus München, MFA aus Seattle)
  • Hardware-Manipulation: Nutzung von USB-IP-Software oder physischen KVM-über-IP-Geräten (PiKVM, TinyPilot), um den Laptop auf BIOS-Ebene fernzusteuern
  • Arbeitsmuster: Konstante Aktivität außerhalb der üblichen Geschäftszeiten, die stattdessen perfekt zu asiatischen Zeitzonen passt
  • Sprachpakete: Download von asiatischen Sprachpaketen auf einem rein westlichen Firmenrechner (Das ist crazy, sehr spannend und nicht Standard! Hätte ich nie dran gedacht..)

3. Proaktiver Threat Hunt Prozess in Microsoft Defender XDR

Ein Hunt nach Fake-Mitarbeitern erfordert eine verhaltensbasierte Analyse. Gehe strukturiert in 5 Schritten vor:

  1. Scope definieren: Konzentriere dich auf IT-Mitarbeiter und Entwickler mit privilegiertem Zugriff, die in den letzten 6–12 Monaten eingestellt wurden
  2. Sign-In-Anomalien: Suche nach interaktiven Logins über VPN/Proxy-IPs oder ungewöhnliche Standorte (z. B. China/Russland/USA bei DE-Mitarbeitern)
  3. Schatten-IT Inventur: Nutze Advanced Hunting in Microsoft Defender XDR, um nach nicht genehmigten RMM-Tools oder USB-over-IP Treibern zu suchen
  4. Kommunikations-Check: Prüfe (unter Einhaltung der Datenschutzrichtlinien) die Nutzung von GenAI-Tools oder AI-Bypassern, die KI-Texte vermenschlichen
  5. Achte auf Google-Translate-Requests mit asiatischen Sprachparametern in den Web-Logs
  6. Liveness-Validierung: Bei Verdacht initiiere einen unangekündigten Video-Call und bitte den Mitarbeiter, die Hand vor dem Gesicht zu bewegen, den Kopf schnell zu drehen und den Kamera-Hintergrund zu deaktivieren – dies stört aktuelle Deepfake-Algorithmen massiv

4. Detection Rules für Microsoft Defender XDR (KQL)

Nutze diese Abfragen im Advanced Hunting Portal:

1. Suche nach nicht autorisierten Remote-Admin-Tools (RATs)

DeviceProcessEvents
| where FileName in~ ("anydesk.exe", "teamviewer.exe", "rustdesk.exe", "logmein.exe", "anydesk.msi", "anyviewer.exe", "jumpconnect.exe")
| project Timestamp, DeviceName, FileName, ProcessCommandLine, InitiatingProcessAccountName
| order by Timestamp desc

 

2. Identifizierung von KVM- oder USB-over-IP-Software

DeviceImageLoadEvents
| where FileName has_any ("usbip", "virtualhere", "usb-over-network", "tinypilot", "pikvm")
| project Timestamp, DeviceName, FileName, FolderPath

 

3. Zugriff auf KI-Humanizer-Webseiten

DeviceNetworkEvents
| where RemoteUrl has_any ("stealthwriter.ai", "quillbot.com", "undetectable.ai", "gptzero.me") 
//Hier könnt ihr beliebige AI-Humanizer einfügen!!
| project Timestamp, DeviceName, RemoteUrl, InitiatingProcessAccountName

Fazit: Radikale Skepsis ist Pflicht

Die Bedrohung durch gefälschte IT-Mitarbeiter zeigt, dass Cybersicherheit bereits im Recruiting-Prozess beginnen muss. Die Anstrengung ALLER Unternehmensbereiche und -mitarbeiter ist gefordert, von Führungskräften, Kollegen, HR-Abteilungen über die IT-Abteilungen hinweg. Das ist kein technisches Problem.

Stell dir dein Unternehmen wie ein digitales Immunsystem vor: Es darf nicht nur auf bekannte Viren achten, sondern muss jedes Verhalten erkennen, das nicht zum gesunden Organismus – deinen echten Mitarbeitern – passt.

Stay safe!