Textquelle: Crowdstrike, Bild: Gemini, KI-generiert

Redaktionelle Bearbeitung: TR

Die Statistik liest sich erst einmal wie eine Branchenmeldung aus einer fernen Welt. Im Berichtszeitraum von April 2025 bis März 2026 gingen 47 Prozent aller staatlich gesteuerten Hands-on-Keyboard-Angriffe auf den Tech-Sektor auf eine einzige Gruppe zurück: Famous Chollima, eine Operation aus der Demokratischen Volksrepublik Korea. So zählt es der jüngste «Technology Threat Landscape»-Report von Crowdstrike.

Was die Gruppe macht, klingt zunächst banal. Sie bewirbt sich. Auf Software-Stellen, vorzugsweise remote, vorzugsweise gut bezahlt. Vermittelt werden die Bewerber über US-Tarnfirmen, doch dahinter sitzen Operatoren in Nordkorea. Das Honorar fliesst zurück nach Pjöngjang und finanziert dort, was Sanktionen eigentlich blockieren sollen, einschliesslich der Nuklearaufrüstung.

Crowdstrike liefert im Report dazu eine nüchterne Erklärung, warum gerade die Tech-Branche so anfällig ist: Remote-Stellen sind verbreitet, die Gehälter liegen weit über dem, was nordkoreanische IT-Fachkräfte sonst erreichen würden, und das dortige Hochschulsystem produziert genau diesen Personentyp in nennenswerter Zahl. Die wichtigste Front verläuft damit heute durch das Bewerbungsgespräch.

Die Industrie wird immer stärker angegriffen

Crowdstrike beschreibt, dass Famous Chollima Künstliche Intelligenz einsetzt, um die Wirksamkeit ihrer Operationen gegen Tech- und Software-Firmen zu steigern. Daneben hat die Gruppe in den USA Tarnfirmen aufgebaut, die als seriöse Arbeitgeber auftreten und ihre Leute weitervermitteln. Ausländische Strohleute spielen mit, manchmal als Vermittler, manchmal als Empfänger der Gehälter. Die USA haben im Berichtszeitraum eine koordinierte Aktion gegen die Gruppe in sechzehn Bundesstaaten geführt, das Finanzministerium hat nordkoreanische und russische Akteure sanktioniert. Das Phänomen hat sich dadurch verschoben, ohne aufzuhören.

An dieser Stelle wird der Report für die Schweizer Industrie interessant, auch wenn er sie nicht namentlich erwähnt. Bei den Ransomware-Vorfällen, im Report «Big Game Hunting» genannt, ist der Tech-Sektor im aktuellen Berichtszeitraum vom dritten auf den vierten Platz abgerutscht. Verdrängt wurde er von «Industrials and Engineering». Die Industrie hat in dieser Statistik aufgeschlossen. Sie betreibt selbst Softwareentwicklung, kauft Software-Stacks ein, holt Remote-Entwickler an Bord, vernetzt Maschinen, bindet Cloud-Dienste ein. Damit teilt sie genau jene Eintrittspforten, die der Report für die Tech-Branche beschreibt.

Offene Wege in geistiges Eigentum und in Kundensysteme

Wer einen Embedded-Programmierer für eine Steuerung einstellt, wer einen Devops-Spezialisten für die IIoT-Plattform sucht, wer ein Entwicklerteam nach Osteuropa oder Südostasien auslagert, sitzt in derselben Pipeline wie das US-Software-Startup, in das sich Famous Chollima einschleicht. Die Methode skaliert, die Geografie ist zweitrangig. Wo HR-Abteilungen schlanke Prozesse für Remote-Recruiting eingerichtet haben, fehlen die zähen Kontrollen, die in einer Werkhalle selbstverständlich wären.

Crowdstrike nennt parallel eine zweite Linie der Gruppe: Famous Chollima betreibt auch klassische Malware-Kampagnen, vorzugsweise gegen Blockchain-Entwickler, mit Schadcode-Familien wie Beavertail und Invisibleferret. Die Doppelnutzung passt zur Logik der Operation: Wer einmal als Entwickler im Unternehmen sitzt, hat Wege in geistiges Eigentum und in Kundensysteme, wie der Report im Ausblick festhält.

Wie weit das DPRK-Ökosystem reicht, zeigt eine zweite Operation aus demselben Bericht. Ende März 2026 hat die Gruppe Stardust Chollima das verbreitete npm-Paket Axios mit gestohlenen Zugangsdaten kompromittiert und eine plattformübergreifende Version ihrer Schadsoftware Zshbucket eingeschleust. Axios wird laut Crowdstrike rund 100 Millionen Mal pro Woche heruntergeladen. Der Anbieter spricht von einer bedeutsamen Lieferkettenkompromittierung mit potenzieller Wirkung auf Millionen nachgelagerter Nutzer. Die beiden Linien sind nicht verbunden, das verbindende Element ist die Herkunft.

Eine Spionageoperation, die in westlichen Tech-Firmen 47 Prozent der staatlichen Vorfälle ausmacht, lebt von der Einstellung selbst, vom Onboarding, vom regelmässigen Lohnbeleg. Zero-Day-Exploits und gestohlene Passwörter sind dabei Nebenwege. Für Schweizer Industriebetriebe heisst das: Die nächste sicherheitsrelevante Entscheidung könnte in der Personalabteilung fallen, drei Bewerbungsgespräche tief im Onboarding-Prozess.

Ihr zukünftiger Werbeplatz? Unsere Mediadaten