In einem beispiellosen Vorgehen deckte der Cybersicherheitsanbieter SentinelOne Anfang 2025 eine breit angelegte Kampagne auf, bei der rund 360 fingierte Bewerberprofile und mehr als 1.000 manipulierte Jobanträge verwendet wurden, um sensible Positionen im Intelligence-Bereich zu unterwandern. Hinter dieser Aktion stehen mutmaßlich nordkoreanische IT-Fachkräfte, die sich über vorgespielte Fernarbeitsplätze Zugang zu Unternehmensnetzwerken verschaffen wollten.

Im Visier der Angreifer
Sicherheitsdienstleister wie SentinelOne befinden sich an einer kritischen Schnittstelle: Sie verfügen über wertvolles Know‑how, verwalten zentrale Schutzmechanismen und sind selbst Zielscheibe verschiedenster Bedrohungsakteure. Ein erfolgreicher Einbruch in ein solches Unternehmen bedeutet nicht nur die Kompromittierung einer einzigen Umgebung, sondern kann Einblick in die Abwehrstrategien Hunderter Kunden und Millionen von Endpunkten gewähren. Diese besondere Attraktivität macht SentinelOne und vergleichbare Anbieter zu bevorzugten Adressaten ausgefeilter Angriffspläne.

Ausmaß und Ausdauer der Kampagne
Die jüngst entdeckte Aktion gilt als eine der umfangreichsten, die SentinelOne in den vergangenen Jahren verfolgte. Die Angreifer verfeinerten ihre Methoden kontinuierlich: Anstelle einfacher Phishing-Mails oder Massenbewerbungen kamen gestohlene Identitäten zum Einsatz. Mit erfundenen Lebensläufen, professionell wirkenden LinkedIn-Profilen und gefälschten Qualifikationsnachweisen wichen die Bewerber nicht von ihrem Ziel ab, sensible Rollen im Unternehmen zu ergattern. Insbesondere Stellen im Bereich Threat Intelligence wurden ins Visier genommen – schließlich bieten sie tiefgreifende Einblicke in Erkennungsmechanismen und Abwehrstrategien.

Tarnung und Professionalisierung
Die Taktik nordkoreanischer IT-Arbeiter geht weit über übliche Insider-Bedrohungen hinaus. Die Angreifer nutzten eigens erstellte Personas, die echten IT-Fachkräften täuschend ähnlich sahen, und passten Wortwahl, Kommunikationsmuster und Fachjargon akribisch an. Bei Telefoninterviews und Videocalls imitieren sie typische Arbeitsrhythmen und verzweigten ihre Identitäten sogar auf Social‑Media‑Kanälen, um auftreten zu können wie internationale Cyberprofis mit starker technischer Expertise.

Proaktives Gegensteuern durch SentinelOne
Statt die manipulierten Bewerbungen lediglich abzulehnen, entschied sich SentinelOne für eine aktive Ermittlungsstrategie. In enger Abstimmung zwischen Sicherheits- und Recruiting-Teams wurden eigene Workflows implementiert, um verdächtige Kontakte in den frühesten Phasen zu identifizieren und in kontrollierte Gespräche zu verwickeln. Dadurch ließen sich wertvolle Erkenntnisse zu Rekrutierungswegen, genutzten Tools und internen Strukturen der Tätergruppe gewinnen – und zugleich wurde verhindert, dass unerkannte Konten in das Unternehmensnetzwerk gelangen.

Erweiterte Bedrohung: Zugriff auf Security-Tools
Ein weiterer Trend, den SentinelOne beobachtete, ist das wachsende Interesse von Angreifern an den hauseigenen Sicherheitslösungen selbst. Zugangsdaten zu Erkennungs- und Managementplattformen werden auf dem Schwarzmarkt gehandelt oder von kompromittierten Insidern gegen hohe Summen verkauft. Mit diesen Credentials testen Angreifer ihre Malware direkt gegen die Schutzmechanismen, um Erkennungsraten zu senken oder Sicherheitskontrollen gezielt zu umgehen.

Operation „PurpleHaze“ und Lieferkettenrisiken
Parallel dazu setzte eine mutmaßlich chinesische APT-Gruppe eine komplexe Kampagne namens „PurpleHaze“ ein. Über einen externen Hardware-Logistikdienstleister verschafften sich die Hacker Einblick in Teile der Infrastruktur von SentinelOne und dessen Kunden. Obwohl keine direkte Schädigung der Kernsysteme festgestellt wurde, verdeutlichte der Vorfall einmal mehr die Verwundbarkeit globaler Lieferketten: Ein Angriff auf den schwächsten Partner kann zum Sprungbrett für größere Operationen werden.

Threat Intelligence als integraler Bestandteil
Die Lehre aus diesen Vorfällen ist klar: Cyber-Bedrohungsaufklärung darf nicht länger eine isolierte Funktion im Unternehmen sein, sondern muss in allen Bereichen verankert werden – von Personalmanagement über Vertrieb bis hin zur technischen Infrastruktur. Nur durch eine durchgängige Integration von Threat Intelligence in alle Prozesse lassen sich manipulative Rekrutierungsversuche frühzeitig erkennen und infrastrukturelle Schwachstellen konsequent schließen.

Ausblick
Die Strategien staatlich unterstützter Hackergruppen, fingierte Personas einzusetzen und direkt auf Sicherheitsanbieter zuzugehen, werden voraussichtlich weiter zunehmen. Um dem entgegenzutreten, sind verstärkte Kontrollen bei der Personalakquise, automatisierte Screening-Mechanismen und regelmäßige Schulungen von HR-Teams unabdingbar. Zugleich gewinnen Maßnahmen wie Zero‑Trust-Architekturen und ausgefeilte Zugangskontrollen immer mehr an Bedeutung. Nur so kann verhindert werden, dass externe Angreifer über vorgebliche Mitarbeitende in die sensibelsten Bereiche eines Unternehmens vordringen.