Ein massiver Betrug, organisiert von Pjöngjang, trifft GitHub, Upwork und Freelancer

Nordkoreanische Hacker haben bereits Millionen in bitcoin und ether abgezweigt und gehören zu den schlimmsten Albträumen der Krypto-Community. Gefürchtet, gejagt, verflucht – dennoch entkommen sie jedem Netz. Denn mittlerweile stehlen sie nicht mehr nur: Sie rekrutieren, organisieren, infiltrieren und strukturieren. GitHub, Upwork, Freelancer… alle Plattformen sind zu Jagdgebieten geworden. Und ihr Ziel ist nicht mehr nur der große Jackpot, sondern das Fundament der dezentralen Wirtschaft selbst.

Wenn KI-Recruiter und Fake-Profile Tech-Plattformen überschwemmen

Im Jahr 2024 hat Pjöngjang, das mehr als 60 Entwickler auf Krypto-Plattformen zählt, einen neuen Schritt in seinem digitalen Krieg unternommen. Die Hacker des Regimes bewerben sich nicht mehr nur auf Angebote: Sie erstellen sie selbst. Auf Upwork, Freelancer oder GitHub veröffentlichen sie Anzeigen, die gezielt Entwickler aus dem Kryptobereich anlocken sollen. Hinter diesen scheinbar gewöhnlichen Angeboten steckt ein ausgeklügelter Plan: Der Kandidat wird eingeladen, ein auf GitHub gehostetes Projekt herunterzuladen, das als technischer Test dienen soll. Der Code enthält Malware, oft vom Typ BeaverTail.

Um diese Fallen unentdeckbar zu machen, nutzen nordkoreanische Agenten KI, um Gesichter zu generieren, Stimmen zu fälschen und ultra-glaubwürdige offizielle Dokumente zu erstellen. Sie verwenden ausgefeilte Tools, um Identitätsunterlagen zu verbessern, Fotos zu verändern und Stimmen zu modifizieren, um Verifizierungssysteme zu täuschen. 

Nichts wird dem Zufall überlassen: Aussehen, Klang, administrative Details werden optimiert, um Kontrollen zu bestehen, ohne den geringsten Verdacht zu erregen.

Verlangen Sie während des Auswahlprozesses ein Live-Video-Interview, um sicherzustellen, dass das Erscheinungsbild des Kandidaten mit dem Profilfoto und den eingereichten Dokumenten (oft gestohlen oder KI-generiert) übereinstimmt.

Heiner García Pérez, Mitglied von SEAL Intel

Diese Fake-Profile werden zu echten trojanischen Pferden. Das KYC-System der Plattformen ist keine Barriere mehr, sondern ein Tarnwerkzeug. Es ist ein Krieg der Erscheinung, in dem das nordkoreanische Regime den Takt angibt.

Social Engineering und menschliche Ausbeutung: Recruiter mit digitalem Lächeln

Die nordkoreanische List endet nicht bei den Tools. Sie setzt auf menschliche Schwächen. Pjöngjangs Agenten nehmen gezielt verwundbare Menschen ins Visier: isolierte Freelancer, Ukrainer in der Krise, Frauen, die wirtschaftliche Unabhängigkeit suchen. In Foren wie InterPals oder AbleHere beginnen die Annäherungen immer sanft: ein freundlicher Austausch, ein Einkommensversprechen, ein schneller Test.

Dann beginnt die Spirale: Ausweisdokumente, Software wie AnyDesk, Übernahme des Freelancer-Kontos. Die „Rekrutierten“ werden zu Strohmännern. Die Aufteilung ist klar: 20% für sie, 80% für den Betreiber.

Ein internes Dokument, das in den Dateien eines Hackers gefunden wurde, zeigt eine quasi-militärische Organisation: Kontaktskripte, Onboarding-Prozesse, erklärende PowerPoint-Präsentationen. Betrug wird zum digitalen Subunternehmergeschäft.

Die Krypto-Community, die auf Dezentralisierung setzt, ist die perfekte Beute. Digitale Wallets sind zugänglich, Krypto-Freelancer zahlreich, Identitäten kursieren.

Hinter diesem System verbirgt sich eine erschreckende Wahrheit: Pjöngjang nutzt Einzelpersonen, um andere zu täuschen. Und das alles unter einer freundlichen, wohlwollenden, fast einnehmenden Maske.

Undurchsichtige Netzwerke, Krypto und KI: Pjöngjangs Geschäftsmodell

Was Nordkorea aufgebaut hat, gleicht einem Industrieplan. Zahlungen laufen über Freelancer-Plattformen auf Bankkonten oder Krypto-Wallets von „Proxies“. Anschließend werden die Gelder in Form von Krypto-Assets nach Pjöngjang oder zu dessen Komplizen transferiert.

Auch hier spielt KI eine Rolle: generierte Profile, simulierte Aktivitätsverläufe, gefälschte Zoom-Calls zur Identitätsbestätigung. Recruiter bitten ihre Mitarbeiter manchmal, ihr Umfeld einzubinden, wodurch ein schwer nachvollziehbares Pyramidennetzwerk entsteht.

Die Krypto-Sphäre wird zum idealen Kanal für diese unsichtbaren Ströme: keine Bank, keine Aufsicht, kein Zoll.

Visuelle Zusammenfassung der wichtigsten Fakten:

• Seit 2024 wurden mehr als 300 Entwickler ins Visier genommen;
• Zahlungen werden nach folgender Regel verteilt: 80% Betreiber / 20% Proxy;
• Infiltrierte Plattformen: Upwork, Freelancer, GitHub…;
• Massiver Einsatz von KI für Identitätsdiebstahl; 
• Weit verbreitete Malware: BeaverTail, InvisibleFerret.

Dieses Modell funktioniert, weil es Technologie und psychologische Manipulation mit beeindruckender Effektivität kombiniert. Die Plattformen sind oft überfordert und haben Schwierigkeiten, diese Konten zu sperren, die unter anderen Namen und Gesichtern wieder auftauchen.

Nordkoreanische Hacker haben das Krypto-Universum im Jahr 2024 ausgeblutet. Mit 1.3 billions Dollar, die abgezweigt wurden, verzeichnen sie ein Rekordjahr. Ihre Strategie entwickelt sich weiter. Ihre Macht auch. Wie weit werden sie gehen?