Noord-Koreaanse IT’ers dringen via online platforms Europese bedrijven binnen als ogenschijnlijk gewone freelancers. Ze werken op afstand, ook voor Nederlandse organisaties, en gebruiken valse identiteiten en bemiddelaars. Het doel is geld en toegang tot bedrijfsnetwerken, nu en de komende maanden. Dit roept vragen op over sancties, AVG en de Europese AI-verordening en de gevolgen voor overheid en bedrijfsleven.
Inhuurkanaal wordt aanvalsroute
Noord-Koreaanse teams richten zich op functies als softwareontwikkelaar, tester en systeembeheerder. Ze gebruiken gestolen paspoorten, nepprofielen en tussenpersonen om controles te omzeilen. Zo komen ze op de loonlijst terecht zonder fysieke aanwezigheid op kantoor.
Eenmaal ingehuurd vragen zij vaak uitgebreide rechten. Denk aan toegang tot broncode, builds en cloudbeheerders. Dat vergroot de kans op datalekken, code-implantaties en misbruik van vertrouwelijke sleutels.
Cybergroepen die aan Noord-Korea worden gekoppeld, zoals Lazarus en Kimsuky, staan bekend om spionage en financieel gemotiveerde aanvallen. Inhuur als freelancer verlaagt voor hen de drempel: het lijkt legitiem werk, maar biedt een opstap naar gevoelige systemen. Daarmee verschuift de dreiging van phishing naar de HR- en inkoopketen.
AI versnelt sollicitatiefraude
Generatieve AI, software die zelf tekst, code of beeld maakt, maakt deze vorm van infiltratie eenvoudiger. Tools als ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic) en GitHub Copilot (Microsoft/GitHub) helpen bij het schrijven van cv’s, motivatiebrieven en het oplossen van programmeertests. Dat verhoogt de kans dat een kandidaat door technische selecties komt.
Er zijn ook signalen van deepfake-stem en -video bij online sollicitaties. Deepfakes zijn met AI gemaakte beelden of audio die echt lijken. In combinatie met gestolen identiteitsdocumenten wordt het lastiger om fraude te herkennen via videovergaderingen.
Tegelijk groeit het risico op dataverzameling buiten zicht van de werkgever. Kandidaten die opdrachten laten oplossen door externe AI-diensten, kunnen onbedoeld broncode of testdata uploaden. Dat kan in strijd zijn met bedrijfsbeleid en de AVG, zeker als persoonsgegevens of bedrijfsgeheimen worden gedeeld.
Sancties en juridische valkuilen
De EU hanteert sancties tegen Noord-Korea. Betalingen aan gesanctioneerde personen of het mogelijk maken van inkomsten voor het regime kunnen strafbaar zijn. Ook het in dienst hebben van schijnconstructies met katvangers levert juridische en reputatierisico’s op voor werkgevers en platforms.
De AVG eist dat toegang tot data beperkt blijft tot wat nodig is (dataminimalisatie) en dat passende beveiliging geldt, zoals versleuteling en logging. Een ingehuurde ontwikkelaar die productiedata bekijkt, kan die grenzen snel overschrijden. Werkgevers moeten daarom strikt rollen en rechten toekennen en toetsen.
Amerikaanse instanties als OFAC, FBI en CISA hebben richtlijnen gepubliceerd over Noord-Koreaanse IT-werknemers. Die adviezen zijn ook nuttig voor Europese organisaties, omdat veel wervings- en betaalstromen grensoverschrijdend zijn. Nederlandse bedrijven moeten daarnaast rekening houden met de Sanctiewet 1977 en interne due diligence bij inkoop en HR.
AI-verordening raakt werving
De Europese AI-verordening (AI Act) stelt eisen aan het gebruik van algoritmen in personeelsselectie. AI die cv’s screent of opdrachten beoordeelt, wordt als hoog risico gezien en vraagt documentatie, menselijk toezicht en risicobeperking. Voor de overheid zijn de gevolgen van de Europese AI-verordening extra groot door publieke verantwoordelijkheid en toezicht.
Deze regels dwingen tot transparantie over data, herkomst en prestaties van selectie-algoritmen. Dat helpt ook bij het opsporen van misbruik, zoals massale, door modellen gegenereerde sollicitaties. Werkgevers moeten borgen dat AI-tools geen ongewenste data opslaan of naar derden sturen.
Organisaties die remote identiteit verifiëren met biometrie raken zowel de AI Act als de AVG. Ze moeten het doel strikt afbakenen, bewaartermijnen beperken en veilige opslag garanderen. Anders ontstaat dubbel risico: juridische overtreding én makkelijker misbruik door kwaadwillenden.
Rode vlaggen en maatregelen
Bedrijven kunnen hun proces aanscherpen met technische en organisatorische controles. Begin met uitgebreide KYC voor freelancers, inclusief onafhankelijke identiteitscheck en fysieke referenties. Combineer dat met netwerkcontroles en het scheiden van ontwikkel-, test- en productieomgevingen.
Let op waarschuwingssignalen bij sollicitaties en tijdens projecten. Denk aan weigering van live video onder verificatiecondities, verzoeken om betaling via derden, of meerdere accounts vanaf hetzelfde apparaat of IP. Ook opvallende werktijden, uniforme schrijf- of code-stijl over verschillende “personen” en ongebruikelijk snel ingeleverde opdrachten kunnen duiden op gecoördineerd werk.
Praktisch advies: geef freelancers standaard minimale rechten, log alle toegang tot code en data en voer periodieke herbeoordelingen uit. Verwijder rechten direct na afronding van taken.
Leg afspraken contractueel vast over het gebruik van AI-hulpmiddelen en broncode. Verbied het uploaden van vertrouwelijke data naar publieke modellen, tenzij expliciet toegestaan en afgeschermd. Maak tot slot een incidentplan: meld bij een vermoeden snel intern, naar het NCSC of het Digital Trust Center, en beoordeel sanctierisico’s met juridische experts.
De dreiging is geen reden om niet met externe specialisten te werken. Wel vraagt het om volwassen inkoop, HR en security die samenwerken. Zo blijft de aanvoer van talent open, terwijl de kans op infiltratie en sanctieschade beperkt blijft.
