Nordkorea utnyttjar distansarbete för cyberoperationer
I takt med att distansarbete blivit en norm i många branscher har Nordkorea hittat nya vägar för att infiltrera internationella företag och generera intäkter till regimen. En ny rapport från cybersäkerhetsföretaget Recorded Future avslöjar hur nordkoreanska IT-arbetare använder falska identiteter för att få anställning inom tekniksektorn, särskilt i kryptovalutaindustrin. Dessa operatörer utgör inte bara en ekonomisk risk, utan också en betydande cyberhot genom datastöld och skadlig kod.
Cyberbedrägerier och falska företag kopplade till Nordkorea
Analysen från Recorded Futures forskargrupp Insikt Group pekar på två huvudsakliga strategier som används av Nordkoreas cyberoperatörer:
1. Infiltration av företag genom falska identiteter
Nordkoreanska IT-specialister ansöker om jobb som fjärrarbetare under falska identiteter. De får tillgång till känsliga system och kan därifrån stjäla information, sprida skadlig kod eller till och med sabotera verksamheten.
2. Etablering av skenföretag för att dölja verksamheten
Gruppen TAG-121 har identifierats som ansvarig för att driva sju skenföretag i Kina som imiterar legitima IT-företag i Kina, Indien, Pakistan, Ukraina och USA. Dessa företag ger en fasad av legitimitet och försvårar upptäckt av bedrägeriet.
Ett särskilt nätverk, kallat PurpleBravo, har varit aktivt på rekryteringssidor, Telegram och GitHub där de lägger ut jobbannonser och interagerar med potentiella kandidater. Under perioden oktober-november 2024 identifierades minst tre attacker mot företag inom kryptovalutasektorn, inklusive en marknadsaktör, ett onlinecasino och ett mjukvaruföretag.
Cyberhotet: Spionage, sabotage och finansiellt stöd till Nordkorea
Bedrägerierna är långt ifrån enbart ekonomiska. Dessa IT-arbetare misstänks vara inblandade i cyberespionage och spridning av skadlig kod. En av de mest framträdande kampanjerna, kallad “Contagious Interview”, har riktats mot utvecklare inom kryptovalutaindustrin. Recorded Future har identifierat tre huvudsakliga skadeprogram kopplade till kampanjen:
• BeaverTail – en trojan som samlar in känslig information såsom kryptoplånböcker och webbläsardata.
• InvisibleFerret – en bakdörr utvecklad i Python som möjliggör fjärråtkomst till komprometterade system.
• OtterCookie – en skadlig kod som skapar varaktig åtkomst till infekterade enheter.
Dessa verktyg används för att infiltrera företag, stjäla affärshemligheter och potentiellt möjliggöra större cyberoperationer. Insikt Group har också funnit att PurpleBravo använder Astrill VPN för att dölja sina spår och hantera sina C2-servrar (command-and-control).
Internationella rättsfall och USA:s ingripande
Den 23 januari 2025 åtalade USA:s justitiedepartement två nordkoreanska medborgare samt tre medhjälpare för en sex år lång bedrägeriverksamhet. I detta fall konspirerade två amerikanska medborgare och en mexikansk medhjälpare med nordkoreanska IT-arbetare för att få dem anställda hos minst 64 amerikanska företag. Bedrägeriet genererade minst 866 255 dollar, pengar som tvättades genom kinesiska bankkonton.
Den här typen av verksamhet är en direkt kränkning av internationella sanktioner och kan få allvarliga juridiska konsekvenser för företag som omedvetet anställer nordkoreanska arbetare. Förutom de finansiella riskerna riskerar företagen också att utsättas för cyberangrepp inifrån.
Så kan företag skydda sig – rekommenderade åtgärder
För att motverka den växande cyberhotbilden rekommenderar Recorded Future flera säkerhetsåtgärder:
Striktare identifieringskontroller
• Krav på video-intervjuer och noterade identitetshandlingar.
• Regelbundna kontroller av anställdas identitet och bakgrund.
• Geografisk verifiering av enheters inloggningsplatser.
Tekniska säkerhetsåtgärder
• Blockera fjärrskrivbordsprogram och VPN-anslutningar.
• Övervakning av anställdas åtkomst till interna system.
• Automatiserade varningar vid ovanliga inloggningsförsök.
Ekonomiska skyddsåtgärder
• Undvika betalningar i kryptovalutor där Nordkorea har en närvaro.
• Kontrollera att bankuppgifter överensstämmer med den anställdas identitet.
• Övervaka misstänkta småskaliga transaktioner.
Nordkoreas cyberverksamhet – en växande global utmaning
Trots omfattande internationella sanktioner har Nordkorea blivit en av världens mest sofistikerade aktörer inom cyberkriminalitet. Genom att utnyttja globala fjärrarbetsplattformar kan regimen generera intäkter och stärka sin cyberkapacitet utan att vara direkt involverad i traditionella finansiella nätverk.
Recorded Future varnar för att den nordkoreanska strategin sannolikt kommer att fortsätta utvecklas och expandera till fler sektorer, inklusive artificiell intelligens, fintech och potentiellt även försvarsindustrin.
För att skydda sig måste företag, regeringar och cybersäkerhetsorganisationer arbeta tillsammans för att stänga de luckor som möjliggör dessa operationer. Med den ökande digitaliseringen av arbetsmarknaden blir det allt viktigare att ha robusta säkerhetsprotokoll på plats.
Källförteckning
1. Recorded Future – Inside the Scam: North Korea’s IT Worker Threat
2. Recorded Future – CTA-NK-2025-0213 (PDF-rapport)
3. USA:s Justitiedepartement – Åtal mot nordkoreanska cyberbrottslingar
4. SentinelOne – DPRK IT Workers: A Network of Active Front Companies and Their Links to China
5. Zscaler – Pyongyang on Your Payroll: The Rise of North Korean Remote Workers in the West