Verhalen over Indiase fabrieken die massaal nepsollicitaties versturen (om zo cost-per-applicant-businessmodellen rendabel te krijgen) en door A.I. gemaakte en afgevuurde ‘sollicitatiebommen‘, die kennen we al langer. Veel recruiters praten er liever niet (te veel) over, maar kregen er al wel mee te maken. Maar in de Verenigde Staten blijken ineens heel andere bronnen het traditionele recruitmentproces grootschalig te bedreigen: sollicitaties van Noord-Koreaanse IT’ers, die zich massaal melden bij Amerikaanse (vaak remote-first) tech-bedrijven.
Noord-Koreaanse IT’ers blijken zich massaal te melden bij Amerikaanse tech-bedrijven die zeggen remote-first te werken.
Het is IT-securitybedrijf Cinder dat er vorige maand voor het eerst uitgebreid mee naar buiten kwam – en er op zijn eigen site over rapporteerde en tips gaf hoe ermee om te gaan. Volgens dat blog is Cinder, opgericht door voormalige CIA-medewerkers, echter bepaald niet het enige bedrijf dat ermee te maken krijgt. De Noord-Koreaanse sollicitanten werken volgens hen vrijwel zeker namens de Noord-Koreaanse regering, maar dan vaak via derde landen zoals China. Niet alleen is het in Amerika vanwege sancties verboden geld over te maken naar Noord-Korea, vermoed wordt dat de sollicitanten mogelijk ook tegelijk willen spioneren – of Amerikaanse bedrijven juist van binnenuit willen saboteren.
Al sinds 2014
Declan Cummings, Head of Engineering bij Cinder, legt in het artikel uit dat hij al in 2014 hoorde over de Noord-Koreaanse praktijk om werknemers naar het buitenland te sturen. ‘Maar ik had nooit verwacht dat ik op een dag de ervaring zou hebben dat ze als sollicitanten zouden proberen zich bij mijn bedrijf aan te sluiten.’ Wel wist hij al dat Noord-Korea een regeling heeft waarbij werknemers in het buitenland (meestal China) geld mogen verdienen, dat vervolgens weer ten goede komt aan het Noord-Koreaanse regime.
Zo massaal als Noord-Koreanen nu solliciteren, dat heeft Declan Cummings nog niet eerder meegemaakt.
Zo werken Noord-Koreanen vaak al jaren undercover als software-freelancers voor deeltijdbanen, weet hij. Maar zo massaal als ze nu solliciteren, dat heeft hij nog niet eerder meegemaakt. De sollicitanten maken daarvoor vaak een fake profiel aan op meerdere professionele netwerk- en vacaturesites met een naam die niet Koreaans is – soms ook met een door A.I. bewerkte profielafbeelding. ‘Zodra ze het sollicitatieproces hebben doorlopen en een baanaanbieding en een laptop hebben ontvangen, kunnen ze vragen om die computer te laten lijken alsof ze vanuit een Amerikaanse locatie te werken.’
Door de mazen heen
Op deze manier kunnen heel wat jonge developers door de mazen glippen, en geld voor het regime binnenbrengen, vermoedt Cummings. ‘Zeker start-ups die snel willen groeien, kunnen gaten in het cv, onbetrouwbare of ontbrekende opleidingsgegevens, of een slechte beheersing van geschreven of gesproken Engels over het hoofd zien voor een ingenieur met voldoende vaardigheden die klaar is om binnenkort aan de slag te gaan.’
Bij Cinder ontdekten ze nogal eens een volledig verzonnen functiegeschiedenis – inclusief niet bestaande kantoorlocaties.
Bij Cinder ontdekten ze op een gegeven moment dat veel van hun sollicitanten op internet niet leken te bestaan (buiten professionele netwerkwebsites), of de identiteit van anderen op internet gebruikten, vaak met profielfoto’s die het beeld van het individu (in skibril, zonnebril) aan het zicht onttrekken, door A.I. gegenereerd zijn, of zelfs gewoon ontbreken. Ook was er nogal eens een volledig verzonnen functiegeschiedenis – inclusief niet bestaande kantoorlocaties.
Tot 80% van alle sollicitaties
Kwamen ze eenmaal door tot de interviewfase, dan wisten de sollicitanten vaak de meest simpele vragen over hun zogenaamde werkverleden niet te beantwoorden. Zoals over de steden waarin ze zogenaamd werkten (‘Wat was uw metrohalte in Parijs?’) of de technologie waaraan ze werkten (‘In welke organisatie zat u bij Uber?’). Ook was er vaak achtergrondgeluid tijdens het sollicitatiegesprek ‘dat erop duidde dat ook andere mensen in een interviewachtige omgeving spraken, wat een volle zaal met mensen impliceerde die afzonderlijke professionele videogesprekken voerden.’
‘Chris Smith, die geen Engels spreekt, dat is toch verrassend…’
Ook merkten ze bij Cinder vaak sterk gescripte antwoorden met een expliciete voorkeur voor werken op afstand en weinig mogelijkheid om van het script af te wijken. En daarnaast ook een discrepantie tussen de naam op het cv of de netwerksite en de beheersing van het Engels van de kandidaat. ‘Bijvoorbeeld Chris Smith, met een BA van een grote Amerikaanse onderzoeksuniversiteit, die tijdens het interview nauwelijks Engels spreekt, dat is toch verrassend’, merkt Cummings droogjes op. Bij Cinder is op sommige vacatures inmiddels tot wel 80% van de sollicitaties van Noord-Koreanen afkomstig, voegde hij toe.
‘F*ck North Korea’
Het is een fenomeen dat overigens al langer speelt. In december vorig jaar kwam er bijvoorbeeld al een rapport over naar buiten, van Nisos investigators. Deze cybersecurityprovider raadt bedrijven onder meer aan persoonlijke interviews en onboarding te eisen. Want om werkgevers te misleiden nemen de Noord-Koreaanse IT’ers zelfs hun toevlucht tot het gebruik van van Amerikanen gestolen identiteitskaarten, zeggen ze. En ondanks dat ze duizenden kilometers verderop wonen, schakelen de Noord-Koreanen ook inwoners van de VS in om hen te helpen bij het accepteren en opzetten van door het bedrijf uitgegeven laptops.
This is how you identify a North Korean engineer.
I asked him to say something negative about North Korea and Kim Jong Un and he immediately deleted the chat. pic.twitter.com/8zAtb3qML6
— Pop Punk (@PopPunkOnChain) August 26, 2024
Ondertussen is het internet het internet, en duiken al snel allerlei andere handige manieren op om de Noord-Koreanen te ontmaskeren. Zoals Harrison Leggio, oprichter van cryptobedrijf g8keep, op X bekend als ‘Pop Punk‘, die zegt dat hij de kandidaten gewoon vraagt om één simpele zin uit te spreken: ‘I hate Kim Jong Un, F*ck North Korea‘. ‘Toen ik dat vroeg, verwijderde de kandidaat meteen het gesprek’, zegt hij.
Vaak in de crypto
Het zijn trouwens ook vaak cryptobedrijven die er specifiek mee te maken krijgen, zo blijkt. Zo kwam vorig jaar het verhaal naar buiten dat het Amerikaanse bedrijf JumpCloud was geïnfiltreerd door kwaadwillende Noord-Koreanen die er crypto’s wilden buit maken. Cybercriminelen uit Noord-Korea hebben zich overigens ook al voorgedaan als journalist of Zuid-Koreaanse overheidsvertegenwoordiger om zo toegang tot crypto’s te krijgen.
Pas toen op de gloednieuwe Mac allemaal malware op verscheen, begon het cybersecuritybedrijf onraad te ruiken…
Maar het speelt zeker niet alleen bij cryptobedrijven. Zo is ook het verhaal bekend van beveiligingssoftwarebedrijf KnowBe4, dat recent een software-ingenieur aannam die eigenlijk een Noord-Koreaanse hacker bleek. Het bedrijf, dat zelf security awareness-programma’s ontwikkelt tegen phishing en cyberdreigingen, eiste van sollicitanten dat ze een cv indienen, deed meerdere (remote) sollicitatiegesprekken en voerde antecedentenonderzoek uit, en toch slaagde één Noord-Koreaanse sollicitant voor dit proces. Hij werd aangenomen als remote software engineer, en kreeg van KnowBe4 een gloednieuwe Mac. Pas toen daar allemaal malware op verscheen, begon het bedrijf onraad te ruiken, en werd de Noord-Koreaan ontmaskerd.
Meer weten?
Op 13 februari organiseert Werf& het congres Cybercrime and the Labor Market, waar veel van dit soort thema’s zullen worden besproken, alsmede hoe je problemen ermee kunt voorkomen. Je kunt je nu al aanmelden.