Recruiting: Reale, jedoch gehackte LinkedIn-Profile als Weg ins UnternehmenMalware von innen einschleusen
17. Februar 2026
Mutmaßliche IT-Fachleute bewerben sich mit gestohlenen Social-Media-Profilen bei Unternehmen als Remote-Mitarbeiter – so lautet ein Trend. Dieses Konzept geht nach heutigem Kenntnisstand stark von Personen aus, die in Verbindung mit der Demokratischen Volksrepublik Korea (DPRK) stehen. Sie nutzen reale, jedoch gehackte LinkedIn-Profile, um sich mit einer falschen Identität als IT-Mitarbeiter in Unternehmen einzuschleichen.
Ziel dieser Angriffsmuster ist es, Malware in die Unternehmenssysteme von innen einzuschleusen, Geld und Daten zu stehlen oder mit Ransomware Lösegelder zu erpressen. Eines der prominentesten Beispiele ist Amazon. Das Unternehmen hat bereits im Dezember 2025 rund 1.800 Jobgesuche geblockt, da hinter diesen koreanische Agenten vermutet wurden.
Diese betrügerische Masche stellt eine neue Eskalationsstufe dar, bei der die klassische Perimeter-Security nur begrenzt Hilfe leisten kann. Für Experten geht es vielmehr darum, diesen Betrügern durch ein effizientes Identitäts- und Zugangsmanagement, ihre Machenschaften so schwer wie möglich zu machen.
Die jüngsten Enthüllungen über DPRK-Akteure, die sich über LinkedIn in Unternehmen einschleusen, sind als strukturelle Verschärfung und erhebliche Eskalation der Cyber-Risiken zu bewerten. Hier handelt es sich nicht um eine isolierte Betrugskampagne, sondern um die Industrialisierung der Manipulation professioneller Identitäten. Staatliche Akteure kombinieren dabei gestohlene Personendaten, KI-generierte Bilder und Deepfake-Videointerviews, um sich unbemerkt in Organisationen einzuschleusen.
Anders als bei klassischen Phishing- oder Spoofing-Angriffen zielt diese Taktik direkt auf den Rekrutierungsprozess ab. Die Akteure übernehmen echte Identitäten, nutzen verifizierte Firmen-E-Mails und konstruieren glaubwürdige Berufsverläufe, um Hintergrundprüfungen zu überwinden. Sobald sie in Remote-Positionen eingestellt sind, leiten sie Firmenlaptops über sogenannte „Laptop-Farmen“ um, um den Anschein einer regional ansässigen Belegschaft zu wahren. Während die Umleitung von Gehältern der Finanzierung des Regimes dient, besteht die strategisch größere Gefahr im dauerhaften Zugriff auf interne Systeme – etwa durch die Installation von Malware oder den Diebstahl geistigen Eigentums.
Unternehmensmanager sollten sich einer neuen und unangenehmen Wahrheit stellen: Identität ist zur primären Angriffsfläche geworden. In einer von Remote- und Hybrid-Arbeit geprägten Welt bieten klassische Perimeter-Sicherheitsmaßnahmen kaum Schutz, wenn Angreifer legitime Zugangsdaten und Endgeräte nutzen. Unternehmen müssen reagieren, indem sie die Identitätsverwaltung über den gesamten Mitarbeiterlebenszyklus hinweg stärken. Dazu gehören:
- strenge Identitätsprüfungen während der Einstellung,
- Phishing-resistente Multi-Faktor-Authentifizierung als Standard,
- Minimalprinzip bei Zugriffsrechten ab dem ersten Tag sowie
- die kontinuierliche Überwachung auf auffälliges Verhalten.
Besonders privilegierte Zugriffe müssen streng kontrolliert und regelmäßig auditiert werden. Diese Kampagne unterstreicht: Vertrauen in digitale Identitäten muss erworben und kontinuierlich überprüft werden.
Ohne robuste Identitäts- und Zugriffsmanagement-Systeme riskieren Unternehmen, ausgedehnten internen Zugriff genau den Bedrohungsakteuren zu gewähren, gegen die sie sich eigentlich schützen wollen.
Darren Guccione ist CEO und Mitbegründer von Keeper Security.
