Das Amt für ausländische Assets Control des US-amerikanischen Departments des Schatzamts (OFAC) hat einen festen Schritt gegen eine mit Nordkorea verbundene Sozial- und Arbeitsbetrug-Operation unternommen, die nach Angaben der Behörden dazu dient, illegale Einkünfte zu generieren, die Massenvernichtungswaffen ernähren. In seiner Erklärung erläutert die Schatzkammer wirtschaftliche Sanktionen gegen mehrere Personen und Organisationen, die in der Sicherheitsgemeinschaft als "Coral Sleet / Jasper Sleet", "PurpleDelta" oder "Wagemole" bekannt sind. Für die Schatzkammer ist es ein Netzwerk, das Remote Jobs als Fassade verwendet, um Daten zu stehlen, Geld zu waschen und die nordkoreanische Diktatur zu bezahlen, und seine offizielle Note bietet mehr Kontext auf diesen Maßnahmen ( Erklärung der Schatzabteilung)
Was diesen Fall besonders hervorhebt, ist nicht nur die technische Raffinesse, sondern die Vermischung traditioneller Betrugstechniken mit modernen Werkzeugen, die durch künstliche Intelligenz und Anonymitätsdienste im Netz angetrieben werden. Laut Berichten von Cyber-Sicherheitsfirmen, Schauspieler erfand erfunden Identitäten oder usurp echte persönliche Daten zu laufen und technische Positionen in Unternehmen auf der ganzen Welt zu erhalten. Ein wesentlicher Teil der Gehälter werden dann in Devisen- und Kryptomoneda-Umwandlungsnetze umgeleitet, und in einigen Episoden wurden sogar bösartige Programme eingesetzt, um geistiges Eigentum oder erpresste Opfer mit Informationslecks zu extrahieren.
Zu den sanktionierten Einrichtungen gehören die bekannte Amnokgang Technology Development Company, der die Behörden die Verwaltung von IT-Arbeiterdelegationen im Ausland und den illegalen Erwerb von militärischer und kommerzieller Technologie zuordnen. Die Intermediäre werden auch in Vietnam identifiziert, wie z.B. die Firma Quangvietdnbg International Services Company Limited und deren Direktor, auf die sie Fonds Conversion-Operationen - einschließlich Umwandlungen zu Kryptomonedas für mehrere Millionen Dollar - zuschreiben, die den Fluss der Ressourcen in Pyongyang erleichtern würde.
Die Namen der Beteiligten sind in der Forschung verstreut: von Moderatoren, die Bankkonten und kritische Brieftaschen öffnen und verwalten, bis hin zu Koordinatoren, die die Fernarbeiter selbst verwalten. Dazu gehören Personen wie Nguyen Quang Viet, Do Phi Khanh und Hoang Van Nguyen für ihre Rolle in der Finanzlogistik und technische Mitarbeiter wie Yun Song Guk, die Arbeitsgruppen aus dem Ausland geführt hätten. OFAC und andere Forscher haben diese Finanz- und operativen Ketten als Teil des Versuches erstellt, den nicht angemeldeten Einkommenserzeugungsmechanismus des nordkoreanischen Regimes zu unterbrechen.
Die technische Schicht der Operation ist für ihren Pragmatismus bemerkenswert. Mehrere Sicherheitsberichte haben die Verwendung von VPN-Diensten dokumentiert, die in der Lage sind, nationale Firewalls zu entfernen, um den tatsächlichen Standort der Mitarbeiter zu maskieren. Ein Fall wies die Firma LevelBlue auf die Verwendung von Astrill VPN auf den Verkehr hin und gehen im Internet durch amerikanische Knoten, die hilft, die Start-ups scheinen legitim aus der Perspektive der Erkennungssysteme der Vertragsunternehmen ( Analyse von LevelBlue)
Parallel hat die künstliche Intelligenz die Kosten und Komplexität der Herstellung glaubwürdiger digitaler Identitäten drastisch reduziert. Forscher von Microsoft und anderen Gruppen haben vor der Verwendung von IA-Modellen gewarnt, um Arbeitsgeschichten zu produzieren, überzeugende Kommunikation zu schreiben und in störender Weise Gesichtsbilder zu erzeugen oder zu manipulieren, um sie in gestohlenen Dokumenten zu platzieren. Faceswap-Werkzeuge und Dienstleistungen, die die Erzeugung von professionellen Porträts ermöglichen, werden verwendet, um einen stärkeren Eindruck von Curriculus und falschen Profilen, die Rekrutierern oder Arbeitsportalen präsentiert werden ( Microsoft Bericht über IA als Betriebstechnik)
Aber die IA bleibt nicht im Profil Make-up: Es gibt Hinweise, dass bösartige Schauspieler Agent Fähigkeiten verwenden, um die Erstellung von gefälschten Websites zu automatisieren, Malware verfeinern und sogar mocking Sprachmodell Einschränkungen, um autonomer zu handeln. Diese Kombination aus menschlicher Persistenz und Automatisierung macht diese Operationen zu einer kostengünstigen und leistungsfähigen Bedrohung, die für Monate oder Jahre infiltriert werden kann, wenn sie unbemerkt sind.
Der interne Betrieb des Netzwerks überrascht auch seine Arbeitsteilung und Integration mit externen Partnern. Recruiter bereiten Interviews und Plattensitzungen vor; Moderatoren entwerfen digitale Persönlichkeiten und verwalten Rekrutierung; westliche Mitarbeiter - manchmal ohne zu wissen, manchmal mit Zustimmung - geben Identitäten oder Dokumente auf, die dann falschen Mitarbeitern erlauben, Verifikationen zu überwinden und erhalten Unternehmensausrüstung. Ein technisches Dokument, das von Flare und mit Beiträgen von IBM X-Force geteilt wird, beschreibt dieses Ökosystem und detaillierte Arbeitswerkzeuge, die von Zeitblättern über Tracking-Anfragen bis hin zu dezentralen Messaging für interne Koordination ( Bericht über die Bedrohung)
Infiltrationsversuche blühen nicht immer. In einem der Fälle, die von einem Sicherheitsunternehmen erkannt wurden, wurde ein Kandidat, der zur Fernabwicklung auf der Salesforce-Plattform angeheuert wurde, kurz nachdem die Aufzeichnungen gezeigt hatten, dass die Sitzung von China und anderen Indikatoren beginnt, die mit einem nationalen Arbeiter unvereinbar sind. Diese Episode zeigt, dass richtige Kontrollen und Überwachung über Zugriffsmuster können schädliche Operationen in frühen Stadien schneiden.
Angesichts dieses Phänomens entwickeln sich die Empfehlungen der Experten darum, diese Betrügereien als internes Risiko zu behandeln: das heißt, als ob sie mit legitimen Berechtigungen beschäftigt wurden, die einen nachhaltigen Schaden verursachen können, wenn ihre Tätigkeit nicht überwacht wird. Dies erfordert die Beobachtungsfähigkeit zu Beginn der Sitzung, die Erkennung von "niedrigen und langsamen" Mustern in der Datenexfiltration, strenge Bordkontrollen und eine verbesserte Überprüfung von Identitäten und Standorten. Es ist auch angebracht, Richtlinien über VPNs und Ausgabeknoten zu überprüfen, sowie Kapazitäten zu entwickeln, um IA-Signale in Begleitbildern und Texten zu erkennen.
Letztlich versuchen die vom Schatzamt angekündigten Sanktionen, den Finanzfluss abzuschalten und die Fazitatoren zu isolieren, die diese Regelung ermöglichen. Aber die umfassendere Lehre für Unternehmen und Sicherheitsbeamte ist, dass die traditionellen Grenzen zwischen Betrug, wirtschaftlicher Spionage und Cyberkriminalität verwundet sind: heute eine Leere in Linked In kann das Tor zu einem geistigen Eigentum Extraktionsnetzwerk und zu einem unerlaubten Finanzierungskreislauf mit geopolitischen Folgen sein.
Überwachung, verstärkte Kontrollen und ein aktualisiertes Verständnis der Rolle der IA bei Arbeitsbetrug sind der Schlüssel zur Verringerung der Exposition. Sowohl öffentliche Körperschaften als auch die private Industrie teilen die Verantwortung, diese Techniken zu erkennen und Maßnahmen zu ergreifen, um zu verhindern, dass Fernbeschäftigte verdeckte Zahlungssysteme für sanktionierte Regime werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...