Amazon hat seit April 2024 mehr als 1.800 mutmaßliche nordkoreanische Mitarbeiter von Remote-Jobs im Bereich Informationstechnologie ausgeschlossen. Stephen Schmidt, der zweite Senior Vice President und Chief Security Officer des Unternehmens, erläuterte die Bemühungen in einem LinkedIn-Beitrag Ende Dezember 2025. Nordkoreanische Staatsangehörige suchen diese Positionen bei US-Unternehmen, um Löhne in die Waffenprogramme des Regimes zu stecken. Amazon setzt zur Erkennung KI-gestütztes Screening in Kombination mit menschlicher Verifizierung ein. Schmidt erklärte in seinem Beitrag: „Seit April 2024 haben wir mehr als 1.800 mutmaßliche DVRK-Aktivisten daran gehindert, sich anzuschließen, und wir haben in diesem Jahr gegenüber dem Vorquartal 27 % mehr Anträge auf Verbindungen zur DVRK festgestellt.“ Dieser Anstieg spiegelt die anhaltenden Bemühungen von Mitarbeitern der Demokratischen Volksrepublik Korea (DVRK) wider, Remote-IT-Rollen bei Amazon und anderen Unternehmen zu unterwandern. Angesichts des Status als einer der größten Arbeitgeber der Welt verarbeiten die Systeme des Unternehmens Bewerbungen in großem Umfang. Der Erkennungsprozess integriert Modelle der künstlichen Intelligenz mit manuellen Überprüfungen. Schmidt erklärte: „Unsere Erkennungen kombinieren KI-gestütztes Screening mit menschlicher Verifizierung. Unser KI-Modell analysiert Verbindungen zu fast 200 Hochrisikoinstitutionen, Anomalien zwischen Anwendungen und geografische Inkonsistenzen. Wir überprüfen Identitäten durch Hintergrundüberprüfungen, Berechtigungsüberprüfung und strukturierte Interviews.“ Diese Schritte untersuchen Bewerbernetzwerke, ungewöhnliche Muster in den übermittelten Daten und Standortunterschiede, die bei Remote-Einstellungsprozessen auftreten. Schmidt betonte das Ausmaß der Gefährdung von Amazon durch diese Bedrohungen. Er schrieb: „Als CSO eines der größten Arbeitgeber der Welt sieht mein Team diese Bedrohungen in einem Ausmaß, das nur wenige Unternehmen haben. Das gibt uns einen einzigartigen Einblick in die Entwicklung dieser Abläufe und die Verantwortung, unsere Erkenntnisse zu teilen.“ Diese Perspektive ergibt sich aus der Bearbeitung einer großen Anzahl von Bewerbungen und ermöglicht die Identifizierung von Mustern, die für kleinere Unternehmen nicht sichtbar sind. Die Mitarbeiter haben ihre Ansätze im Laufe der Zeit verfeinert. Sie begehen Identitätsdiebstahl, indem sie auf echte Softwareentwickler abzielen, deren etablierte Berufsprofile Glaubwürdigkeit verleihen, und nicht auf Personen mit begrenzter Online-Präsenz. Dieser Wandel sorgt für überzeugendere Lebensläufe und Lebensläufe, die einer ersten Prüfung standhalten. LinkedIn-Taktiken sind komplex geworden. Agenten kapern ruhende Konten mit kompromittierten Zugangsdaten und bewahren so Verifizierungsausweise aus früheren Aktivitäten auf. Es gibt Netzwerke, in denen Kontoinhaber Zugangsdaten gegen Zahlungen austauschen, was den Identitätswechsel zusätzlich ermöglicht. Diese Methoden nutzen Plattformfunktionen, die für professionelles Networking entwickelt wurden. Bewerbungen konzentrieren sich zunehmend auf Stellen im Bereich der künstlichen Intelligenz und des maschinellen Lernens. Solche Rollen sind angesichts der Einführung von KI-Technologien in Unternehmen sehr gefragt und bieten möglicherweise eine höhere Bezahlung und weniger unmittelbare Aufsicht in Remote-Setups. Moderatoren betreiben „Laptop-Farmen“ an Standorten in den USA. Diese Standorte empfangen Ausrüstungslieferungen und simulieren die Präsenz im Inland, während Mitarbeiter die Geräte von außerhalb des Landes fernsteuern. Durch diese Regelung wird bei der Einstellung und Einarbeitung der Eindruck einer in den USA ansässigen Arbeit gewahrt. Bildungsansprüche entwickeln sich strategisch. Die Muster zeigen Verlagerungen von ostasiatischen Universitäten zu Institutionen in Staaten ohne Einkommenssteuer und neuerdings auch zu Schulen in Kalifornien und New York. Amazon-Rezensionen prüfen Abschlüsse von Programmen, die nicht von den aufgeführten Institutionen angeboten werden, oder Zeitpläne, die nicht mit den üblichen akademischen Kalendern übereinstimmen. Dezente Indikatoren helfen bei der Erkennung. Bewerber formatieren US-Telefonnummern mit „+1“ statt einfach „1“. Dieses Detail allein ist von geringer Bedeutung, bildet aber zusammen mit anderen Signalen ein Profil verdächtiger Aktivitäten. Diese Programme gehen über Amazon hinaus. Im Juni 2025 gab das US-Justizministerium eine Warnung heraus. Ein DOJ Pressemitteilung erklärte: „Das Justizministerium kündigte heute koordinierte Maßnahmen gegen die Pläne der Regierung der Demokratischen Volksrepublik Nordkorea (DVRK) an, ihr Regime durch Remote-Informationstechnologie (IT)-Arbeit für US-Unternehmen zu finanzieren.“ Die Maßnahmen umfassten zwei Anklagen, eine Informations- und Vergleichsvereinbarung, eine Festnahme, Durchsuchungen von 29 bekannten oder mutmaßlichen Laptop-Farmen in 16 Bundesstaaten, die Beschlagnahme von 29 Finanzkonten, die zum Waschen illegaler Gelder genutzt wurden, und 21 betrügerische Websites.
