{"id":142089,"date":"2025-06-02T09:59:31","date_gmt":"2025-06-02T16:59:31","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=142089"},"modified":"2025-06-11T07:29:29","modified_gmt":"2025-06-11T14:29:29","slug":"north-korean-synthetic-identity-creation","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/de\/north-korean-synthetic-identity-creation\/","title":{"rendered":"Falsches Gesicht: Unit 42 demonstriert, wie erschreckend einfach sich die schaffung einer synthetischen Identit\u00e4t gestaltet"},"content":{"rendered":"

<\/a>Zusammenfassung<\/h2>\n

Es gibt Hinweise darauf, dass nordkoreanische IT-Mitarbeiter die Deepfake-Technologie in Echtzeit nutzen, um Unternehmen \u00fcber Remote-Arbeitspl\u00e4tze zu infiltrieren, was erhebliche Sicherheits-, Rechts- und Compliancerisiken birgt. Die in diesem Bericht dargelegten Erkennungsstrategien bieten Sicherheits- und HR-Teams praktische Anleitungen, um ihre Einstellungsprozesse gegen diese Bedrohung zu st\u00e4rken.<\/p>\n

In unserer Demonstration brauchte man ohne Vorkenntnisse etwas mehr als eine Stunde, um herauszufinden, wie man mit leicht erh\u00e4ltlichen Werkzeugen und billiger Consumer-Hardware ein Deepfake in Echtzeit erstellt. Auf diese Weise k\u00f6nnen Angreifer leicht \u00fcberzeugende synthetische Identit\u00e4ten schaffen, die es ihnen erm\u00f6glichen, unentdeckt zu operieren und m\u00f6glicherweise Einnahmen f\u00fcr sanktionierte Regime zu erzielen.<\/p>\n

Auch wenn wir bei der derzeitigen Deepfake-Technologie noch Einschr\u00e4nkungen feststellen k\u00f6nnen, so nehmen diese doch rasch ab. Unternehmen m\u00fcssen einen mehrschichtigen Schutz implementieren, indem sie verbesserte \u00dcberpr\u00fcfungsverfahren, technische Kontrollen und eine kontinuierliche \u00dcberwachung w\u00e4hrend des gesamten Lebenszyklus der Mitarbeiter kombinieren.<\/p>\n

Palo Alto Networks\u00a0Kunden sind vor den in diesem Artikel beschriebenen Bedrohungen dank der Unit 42 Insider Threat Services<\/a> besser gesch\u00fctzt.<\/p>\n

Organisationen k\u00f6nnen sich an das Unit 42 Incident Response Team<\/a> wenden, um spezielle Unterst\u00fctzung bei dieser und anderen Bedrohungen zu erhalten.<\/p>\n

<\/a>Nordkoreaner im Vorstellungsgespr\u00e4ch<\/h2>\n

Die Talentakquise- und Cybersicherheits-Communitys haben in letzter Zeit berichtet, dass immer mehr Bewerber bei Vorstellungsgespr\u00e4chen Echtzeit-Deepfakes einsetzen. Die Ermittler haben F\u00e4lle dokumentiert, in denen Befragte synthetische Videofeeds mit identischen virtuellen Hintergr\u00fcnden f\u00fcr verschiedene Kandidatenprofile nutzten, wie in Abbildung 1 dargestellt.<\/p>\n

\"Screenshots
Abbildung 1. Ein direkter Vergleich zwischen zwei Deepfake-Bewerbern Quelle: Daniel Grek Sanchez Castellanos<\/a> und Bettina Liporazzi<\/a>.<\/figcaption><\/figure>\n

Der Pragmatic Engineer<\/a>-Newsletter dokumentierte eine Fallstudie \u00fcber ein polnisches KI-Unternehmen, das auf zwei verschiedene Deepfake-Kandidaten stie\u00df. Die Personaler vermuteten, dass ein und dieselbe Person hinter beiden Personas steckte, vor allem, da der Bewerber w\u00e4hrend des zweiten technischen Vorstellungsgespr\u00e4chs deutlich mehr Selbstvertrauen zeigte, nachdem er zuvor das Format und die Fragen kennengelernt hatte.<\/p>\n

Die Analyse der Indikatoren im Pragmatic Engineer-Bericht durch Unit 42 deckt sich mit bekannten Taktiken, Techniken und Prozeduren (TTPs), die den Operationen von IT-Mitarbeitern<\/a> der Demokratischen Volksrepublik Korea (DVRK) zugeschrieben werden. Dies ist eine logische Weiterentwicklung ihres bew\u00e4hrten Schemas der betr\u00fcgerischen Infiltrierung von Arbeitspl\u00e4tzen.<\/p>\n

Nordkoreanische Bedrohungsakteure haben stets ein gro\u00dfes Interesse an Techniken zur Identit\u00e4tsmanipulation gezeigt. In unserer Untersuchung im Jahr 2023<\/a> berichteten wir \u00fcber ihre Bem\u00fchungen, synthetische Identit\u00e4ten zu schaffen, die sich auf kompromittierte pers\u00f6nliche Daten st\u00fctzen, um ihre Entdeckung zu erschweren.<\/p>\n

Wir fanden weitere Beweise, als wir den Angriff auf Cutout.pro<\/a>, einen AI-Dienst f\u00fcr die Bildmanipulation, bei dem zahlreiche E-Mail-Adressen aufgedeckt wurden, die wahrscheinlich mit den IT-Mitarbeitern der DVRK in Verbindung stehen, analysierten. Abbildung 2 zeigt eine derartige Bildmanipulation in Form von Bewerbungsfotos mit vertauschten Gesichtern.<\/p>\n

\"Bilder
Abbildung 2. Ein nordkoreanischer Mitarbeiter experimentiert mit Face-Swapping.<\/figcaption><\/figure>\n

Die IT-Mitarbeiter der DVRK entwickelten ihre Infiltrationsmethoden schrittweise weiter, indem sie die Deepfake-Technologie in Echtzeit einsetzten. Dies bietet zwei wesentliche operative Vorteile. Erstens kann ein und derselbe Mitarbeiter f\u00fcr dieselbe Stelle mehrere Vorstellungsgespr\u00e4che f\u00fchren, indem er verschiedene synthetische Personas verwendet. Zweitens k\u00f6nnen sie verhindern, dass Agenten identifiziert und in Sicherheitsbulletins und Fahndungsmeldungen (siehe Abbildung\u00a03) aufgenommen werden. Zusammengenommen bietet die Technologie den IT-Mitarbeitern der DVRK eine h\u00f6here Betriebssicherheit und ein geringeres Erkennungsrisiko.<\/p>\n

\"Fahndungsplakat
Abbildung 3. Ein Fahndungsplakat<\/a> f\u00fcr IT-Mitarbeiter der DVRK, abgerufen am 20. M\u00e4rz 2025.<\/figcaption><\/figure>\n

<\/a>Von null bis passabel<\/h2>\n

Ein einzelner Forscher ohne Erfahrung in der Bildmanipulation, mit begrenzten Kenntnissen im Bereich Deepfake und einem f\u00fcnf Jahre alten Computer erstellte in 70 Minuten eine synthetische Identit\u00e4t f\u00fcr Vorstellungsgespr\u00e4che. Die Einfachheit der Erstellung zeigt, wie gef\u00e4hrlich zug\u00e4nglich diese Technologie f\u00fcr Bedrohungsakteure geworden ist.<\/p>\n

Nur mit einer KI-Suchmaschine, einer passablen Internetverbindung und einer Ende 2020 gekauften GTX 3070-Grafikeinheit konnte das in Abbildung 4 gezeigte Beispiel erstellt werden.<\/p>\n

\n