Microsoft roept organisaties op om remote IT-freelancers en uitzendkrachten grondig te screenen voordat ze worden aangenomen. Daarnaast adviseert het techbedrijf om niet-geautoriseerde IT-beheertools te blokkeren. Deze maatregelen moeten voorkomen dat bedrijven per ongeluk malafide personeel binnenhalen, zo stelt Microsoft in een nieuwe blogpost.

Volgens het bedrijf zet Noord-Korea duizenden geschoolde software- en webontwikkelaars in om op internationale freelancebanenwebsites te solliciteren. Deze ontwikkelaars maken accounts aan op platforms zoals Upwork en Fiverr, waarbij ze zich vaak voordoen als onafhankelijke freelancers. Het doel? Toegang krijgen tot bedrijfsnetwerken en gevoelige data stelen.

Waarschuwingen van overheden en techbedrijven
Eerder waarschuwden zowel de Amerikaanse overheid als Google al voor Noord-Koreaanse IT'ers die via remote werk infiltreren in westerse bedrijven. Uit onderzoek blijkt dat deze freelancers samenwerken met handlangers in andere landen, waaronder de Verenigde Staten. Een veelgebruikte methode is het versturen van bedrijfslaptops naar deze tussenpersonen. Vervolgens installeert de handlanger remote-accesssoftware, waardoor Noord-Koreaanse IT'ers vanaf een ander continent kunnen inloggen.

Doordat de laptops zich fysiek in hetzelfde land bevinden als het bedrijf – en dus een lokaal IP-adres hebben – wekt dit minder argwaan. De Amerikaanse autoriteiten hebben meerdere zogenoemde laptop farms ontdekt: locaties waar tientallen bedrijfslaptops worden gebruikt door Noord-Koreaanse hackers. Het verdiende geld zou rechtstreeks naar het Noord-Koreaanse regime vloeien, dat bekendstaat om zijn cybercriminaliteit en sanctie-ontduiking.

Tools en tactieken van Noord-Koreaanse hackers
Microsoft meldt dat Noord-Korea actief op zoek is naar personen in verschillende landen die laptop farms kunnen opzetten, bankrekeningen openen en SIM-kaarten regelen. De betrokken IT-freelancers maken vaak gebruik van VPN-diensten zoals Astrill VPN, maar ook van remote-accesssoftware zoals JumpConnect, TinyPilot, RustDesk, TeamViewer, AnyViewer en AnyDesk.

Zodra ze toegang hebben tot een bedrijfsnetwerk, stelen ze volgens Microsoft gevoelige data. Het techbedrijf benadrukt daarom het belang van strenge screening, waaronder verificatie van contactgegevens en de digitale footprint van sollicitanten. Ook adviseert Microsoft bedrijven om voorzichtig te zijn met uitzendkrachten, omdat dit een eenvoudige infiltratieroute zou zijn.

Aanbevelingen voor bedrijven
Om risico’s te beperken, doet Microsoft de volgende aanbevelingen:

Voer grondige screenings uit, inclusief verificatie van cv’s en identiteit via videogesprekken.
Blokkeer niet-goedgekeurde IT-beheertools om ongeautoriseerde toegang te voorkomen.
Monitor verdachte activiteiten, zoals het gebruik van publieke VPN’s of ongebruikelijke werkuren.
Wees alert op uitzendkrachten, omdat deze een kwetsbaar punt vormen in de beveiliging.

Met deze maatregelen hoopt Microsoft bedrijven beter te wapenen tegen cyberespionage vanuit Noord-Korea. Eerdere waarschuwingen van de FBI en cybersecurity-experts onderstrepen de urgentie van het probleem.

Bronnen:

Microsoft Security Blog (2025)
FBI Cyber Division (2024)
Google Threat Analysis Group (2024)

Voor meer updates over cybersecurity, blijf onze nieuwsberichten volgen.