Die perfide Masche der „Famous Chollima“: Wie Nordkorea mit KI-Deepfakes Tech-Jobs erschleicht und 2 Milliarden Dollar stiehlt

Die KI-gestützte Einstellungs-Masche

Die Kernmethode von Famous Chollima ist ebenso raffiniert wie verstörend einfach: sich einen Job besorgen. Die seit mindestens 2018 aktive Gruppe hat sich darauf spezialisiert, sich unter Vorspiegelung falscher Tatsachen freiberufliche oder festangestellte Stellen zu erschleichen, typischerweise als Remote-Softwareentwickler .

Was sich in letzter Zeit geändert hat, ist die Industrialisierung dieser Einstellungs-Masche. Der CrowdStrike 2025 Threat Hunting Report beschreibt ein „klares Bild eines Gegners, der KI-gestützte Werkzeuge tief in seine Abläufe integriert, um Arbeitsabläufe in jeder Phase des Einstellungs- und Beschäftigungsprozesses zu automatisieren und zu optimieren“ .

Zu den in CrowdStrikes Berichten dokumentierten, spezifischen Taktiken gehören:

• KI-generierte Deepfake-Videos und -Audio für Remote-Interviews. Die Agenten nutzen gängige generative KI-Tools, darunter OpenAIs ChatGPT und Googles Gemini, um ihre Stimme und ihr Video in Echtzeit während Videointerviews zu verändern und überzeugende Antworten auf technische Fragen zu generieren .
• Komplett erfundene berufliche Identitäten. Die Angreifer erstellen polierte LinkedIn-Profile mit KI-generierten Profilbildern, komplett mit glaubwürdigen Karrierewegen und gefälschten Lebensläufen, die selbst Background-Checks überstehen .
• Echte, gestohlene Ausweisdokumente. Die Agenten verwenden gestohlene US-amerikanische Sozialversicherungsnummern und andere Identitätsdokumente, um die Illusion der Legitimität für Sicherheitsüberprüfungssysteme zu vertiefen .

CrowdStrikes OverWatch-Bedrohungsjagdteam untersuchte in einem Zeitraum von zwölf Monaten über 320 verschiedene Fälle, in denen Famous-Chollima-Agenten eine betrügerische Anstellung erlangten – ein erschütternder Anstieg von 220 % gegenüber dem Vorjahr . Die Erfolgsquote dieser getarnten Einstellungen schoss ebenfalls um 220 % in die Höhe. Adam Meyers, Leiter der Abteilung für gegnerische Operationen bei CrowdStrike, bemerkte, dass sein Team inzwischen etwa auf einen solchen Vorfall pro Tag reagiert .

Worauf sie es abgesehen haben

Die Motivation ist eine doppelte Einnahmequelle für das sanktionierte Regime.

Die erste Einnahmequelle ist schlichter Lohndiebstahl. Famous-Chollima-Agenten kassieren Gehälter von den Firmen, die sie infiltrieren, und leiten die Löhne nach Nordkorea. Die zweite – und für die Opfer schädlichere – ist der Diebstahl geistigen Eigentums. Mit legitimen Zugangsdaten im Netzwerk stehlen die Agenten proprietären Quellcode, Geschäftsgeheimnisse und andere sensible Informationen .

Parallel zum IT-Arbeiter-Plan betreibt das breitere nordkoreanische Cyber-Ökosystem eine massive Operation zum Diebstahl von Kryptowährungen. CrowdStrikes 2026 Financial Services Threat Landscape Report ergab, dass mit der DVRK verbundene Gruppen im Jahr 2025 gemeinsam 2,02 Milliarden Dollar an digitalen Vermögenswerten stahlen, ein Anstieg von 51 % im Vergleich zum Vorjahr . Der größte Einzelraub – 1,46 Milliarden Dollar in Kryptowährung – wurde der verwandten Gruppe PRESSURE CHOLLIMA zugeschrieben, die trojanisierte Software über eine Kompromittierung der Lieferkette einschleuste .

Das endgültige Ziel dieser Gelder ist eindeutig. Die gestohlenen Milliarden werden „mit an Sicherheit grenzender Wahrscheinlichkeit gewaschen und zur Finanzierung der Militär- und Atomwaffenprogramme des Regimes verwendet“, heißt es im 2026 Financial Services Threat Landscape Report .

Jenseits der Einstellung: Erpressung durch Datendiebstahl

Während sich die öffentliche Berichterstattung über Famous Chollima auf Infiltration und Diebstahl konzentriert, birgt das Absaugen von Daten einen zweiten potenziellen Gewinn. Breitere nordkoreanische Cyberoperationen haben Erpressungstaktiken mit Datendiebstahl übernommen – sie drohen damit, gestohlene Informationen zu veröffentlichen, wenn kein Lösegeld gezahlt wird.

CrowdStrikes früherer Global Threat Report verfolgte einen Anstieg der Opferzahlen auf speziellen Leak-Sites um 76 %, da die Erpressung durch Datendiebstahl für viele Angreifer zum bevorzugten Monetarisierungsweg wurde . Das Unternehmen stellt fest, dass mit der DVRK verbundene Akteure bei Datendiebstahl- und Erpressungskampagnen beobachtet wurden, ohne Ransomware einzusetzen, und Druck durch die Androhung der Bloßstellung sensibler Daten ausüben .

CrowdStrike hat zudem bestätigt, dass bei Service-Einsätzen mit Famous-Chollima-Bezug in 50 % der Fälle ein Datendiebstahl bestätigt wurde . Diese exfiltrierten Informationen könnten für Erpressungszwecke genutzt werden, wenngleich sich die Zusammenfassungen der öffentlichen Berichte stärker auf die Insider-Infiltration und die Lohn-Krypto-Diebstahl-Pipeline der Gruppe konzentrieren. Die genauen Details des Erpressungsmodells von Famous Chollima nach einer Entdeckung könnten nur in den vollständigen, ungeschwärzten Bedrohungsberichten verfügbar sein und nicht in den bisher veröffentlichten Zusammenfassungen.

Das Ausmaß und die Raffinesse dieser Operation stellen ein neues Paradigma staatlicher Cyberspionage dar. Die Bedrohung verlagert sich von Angriffen auf die Netzwerkperipherie hin zu vertrauenswürdigen Insidern, die eingestellt werden, bezahlt werden – und von innen heraus stehlen.