Die Landschaft der staatlich geförderten Cyberkriegsführung durchläuft eine bedeutende Transformation, wobei fortschrittliche künstliche Intelligenz nun ein primäres Werkzeug für feindliche Akteure ist. Ein aktueller Bericht des Cybersicherheitsunternehmens Genians beleuchtet, wie Nordkoreas berüchtigte Hackergruppe Kimsuky KI, einschließlich Plattformen wie ChatGPT, nutzt, um ausgeklügelte Spionagekampagnen durchzuführen. Diese Operationen, die von der Erstellung überzeugender Deepfake-Militärausweise bis zur Infiltration großer US-Unternehmen reichen, unterstreichen eine wachsende globale Bedrohung, die traditionelle Cybersicherheitsverteidigungen herausfordert und internationale Sanktionen umgeht.
Eine von Genians detailliert beschriebene bemerkenswerte Kampagne umfasste den Einsatz von ChatGPT durch Kimsuky, um einen gefälschten südkoreanischen Militärausweis zu generieren. Dieser Deepfake-Ausweis wurde dann in Phishing-E-Mails eingesetzt, die eine kritische Zielgruppe ins Visier nahmen: Journalisten, Forscher und Menschenrechtsaktivisten mit Verbindungen zu nordkoreanischen Themen. Die E-Mails waren akribisch so gestaltet, dass sie legitim wirkten, stammten von einer gefälschten .mil.kr-Domain und enthielten eingebettete Malware, die darauf abzielte, die Geräte der Empfänger zu kompromittieren. Forscher von Genians bestätigten die Rolle der KI bei der Erstellung des täuschenden Ausweises und stellten fest, dass die Angreifer die anfänglichen Beschränkungen der Plattform durch sorgfältiges Prompt Engineering erfolgreich umgingen.
Der strategische Einsatz von KI durch nordkoreanische Agenten geht über direktes Phishing hinaus. In einem separaten Vorfall enthüllte das KI-Unternehmen Anthropic, dass mit Pjöngjang verbundene Hacker sein Claude Code-Modell nutzten, um sich auf Remote-Positionen bei US-amerikanischen Fortune-500-Unternehmen zu bewerben. Diese ausgeklügelte Taktik ermöglichte es ihnen, Programmierinterviews zu bestehen, umfassende Arbeitsverläufe zu fälschen und sogar technische Aufgaben nach der Einstellung zu erledigen, wodurch sie direkten Zugang zu Unternehmenssystemen erhielten, ohne konventionelle Firewalls durchbrechen zu müssen. Ähnlich hat OpenAI Maßnahmen ergriffen, indem es Konten mit Bezug zu Nordkorea gesperrt hat, die seine Tools nutzten, um gefälschte Lebensläufe, Anschreiben und Social-Media-Profile zu generieren, die darauf abzielten, die illegalen Kampagnen des Regimes zu erleichtern.
Pjöngjangs strategischer Imperativ
Diese sich entwickelnden Cyber-Taktiken sind integraler Bestandteil der umfassenderen nationalen Strategie Nordkoreas. Laut Mun Chong-hyun, einem Direktor bei Genians, ist KI nun in jede Phase des Hacking-Prozesses integriert, von der Planung und Werkzeugerstellung bis zur Durchführung von Phishing und Identitätsdiebstahl. Die US-Regierung hat seit langem behauptet, dass Pjöngjang Cyber-Operationen, einschließlich Krypto-Diebstahl und Schatten-IT-Verträge, einsetzt, um Informationen zu sammeln und entscheidende Mittel für sein Atomwaffenprogramm zu generieren, wodurch strenge internationale Sanktionen umgangen werden. Eine Warnung des US-Heimatschutzministeriums aus dem Jahr 2020 beschrieb Kimsuky ausdrücklich als eine Gruppe, die wahrscheinlich vom nordkoreanischen Regime mit einer globalen Informationsbeschaffungsmission beauftragt wurde.
Seit 2012 aktiv, hat Kimsuky eine dokumentierte Geschichte von Angriffen auf außenpolitische Experten, Think Tanks und Regierungsbehörden in Südkorea, Japan und den Vereinigten Staaten. Ihre primäre Methode war typischerweise Spearphishing, um sensible Informationen zu extrahieren und hochrangige Diskussionen über Nuklearstrategie, Sanktionen und regionale Sicherheit zu überwachen. Der neueste Genians-Bericht bestätigt eine Fortsetzung dieses Musters, wobei die Opfer sorgfältig nach ihrer Relevanz für nordkoreanische Angelegenheiten ausgewählt werden.
Stärkung der Cybersicherheitsverteidigung
Die zunehmende Raffinesse dieser KI-gestützten Angriffe hat dringende Warnungen von US-amerikanischen und südkoreanischen Beamten ausgelöst. Die Fähigkeit, militärische E-Mail-Domains zu fälschen und Malware in scheinbar harmlose Nachrichten einzubetten, unterstreicht die Wirksamkeit dieser neuen Methoden. Cybersicherheitsbehörden, darunter CISA, FBI und CNMF, fordern Einzelpersonen und Organisationen, die in sensiblen, Nordkorea betreffenden Bereichen tätig sind, auf, ihre digitalen Abwehrmaßnahmen erheblich zu verstärken. Wichtige Empfehlungen umfassen die weit verbreitete Einführung der Multi-Faktor-Authentifizierung, obligatorische Schulungen zur Phishing-Sensibilisierung und die Implementierung robusterer Filter für verdächtige E-Mails. Diese Maßnahmen sind entscheidend, da Nordkorea weiterhin technologische Fortschritte nutzt, um Sanktionen zu umgehen und seine geopolitischen Ziele zu verfolgen.