Noord-Koreaanse netwerken infiltreren bedrijfssystemen door IT-vacatures te claimen met synthetische identiteiten, deepfake-interviews en gestolen documenten. Dit blijkt uit de Security Navigator 2026 van Orange Cyberdefense, gebaseerd op analyse van meer dan 139.000 incidenten. De praktijk levert naar schatting tussen de 300 en 600 miljoen dollar per jaar op voor de Noord-Koreaanse staat en treft ook Nederlandse organisaties.
Remote-workerfraude begon als een methode voor Noord-Korea om internationale sancties te omzeilen en via IT-salarissen buitenlandse valuta te genereren. Inmiddels is dit uitgegroeid tot een grootschalige operatie die jaarlijks honderden miljoenen dollars opbrengt, aldus Orange Cyberdefense in zijn Security Navigator 2026.
De verspreiding van remote werken, het verdwijnen van fysieke verificatie en de toenemende inzet van generatieve AI maken het voor fraudeurs makkelijker om geloofwaardige identiteiten op te bouwen. Eenmaal aangenomen hebben deze nep-medewerkers toegang tot broncode, intellectueel eigendom en interne systemen, met als gevolg potentiële datadiefstal, sabotage of langdurige spionage.
Schaduwinfrastructuur en laptop farms
De netwerken opereren vanuit China, Rusland en Zuidoost-Azië en maken gebruik van een schaduwinfrastructuur die vervalste documenten levert, synthetische profielen opbouwt en technische middelen aanbiedt om die identiteiten geloofwaardig te houden. Deepfake-video en stemmanipulatie maken het voor hr-teams moeilijk om fraude te herkennen.
Een centraal onderdeel van de werkwijze zijn zogeheten laptop farms: bedrijfslaptops worden opgestuurd naar lokale medeplichtigen in het land waar de sollicitant zegt te wonen. Die medeplichtigen beheren tientallen apparaten die continu verbonden zijn met lokale netwerken, zodat de inlog voor de werkgever afkomstig lijkt uit de juiste regio. Betalingen verlopen via cryptowallets en schijnbedrijven.
Orange Cyberdefense meldt dat één facilitator Noord-Koreaanse werknemers aan banen hielp bij 309 verschillende bedrijven. Een enkele infiltrant genereert volgens het rapport gemiddeld 300.000 dollar per jaar voor de staat. De FBI loofde eerder een beloning van 5 miljoen dollar uit voor informatie die leidt tot verstoring van deze netwerken.
Vijf maatregelen
Orange Cyberdefense geeft vijf aanbevelingen om de risico’s te beperken.
Ten eerste adviseert het bedrijf identiteitsverificatie in meerdere fases toe te passen: voor, tijdens en na onboarding. Dat betekent een combinatie van documentcheck, videobewijs, locatievalidatie en gedragsverificatie, aangevuld met herbevestiging in een later stadium.
Ten tweede stelt Orange Cyberdefense dat toegangsrechten vanaf dag één beperkt moeten zijn. Zero trust voorkomt dat een frauduleuze medewerker zich na toegang door het netwerk kan bewegen.
Ten derde wijst het rapport op het belang van gedragsmonitoring via identity-, endpoint- en netwerkgovernance. Infiltranten zijn herkenbaar aan patronen als onlogische loginroutes, toegang tot data buiten hun functiescope of afwijkende werktijden.
Ten vierde adviseert het bedrijf financiële stromen richting risicoregio’s en onbekende accounts actief te controleren, zodat cryptobetalingen en schijnfacturen sneller opvallen.
Ten vijfde benadrukt Orange Cyberdefense het belang van informatie-uitwisseling met sectorpartners en autoriteiten. Patronen worden pas zichtbaar wanneer meerdere organisaties hun signalen combineren.
Nederland als risicoland
Dennis de Geus, CEO bij Orange Cyberdefense Nederland, geeft aan dat de sterk gedigitaliseerde Nederlandse economie en de verankering van remote werken Nederland tot een direct doelwit maken. Fraudeurs bouwen volgens hem complete identiteiten op die maandenlang geloofwaardig blijven.
De Geus stelt dat organisaties niet alleen hun verificatieprocessen moeten aanscherpen, maar ook structureel moeten heroverwegen hoe ze identiteit, toegang en integriteit waarborgen in een digitale arbeidsmarkt.
De Security Navigator 2026 is het jaarlijkse internationale onderzoeksrapport van Orange Cyberdefense. Het combineert incidentdata, threat intelligence en open source intelligence met onderzoek naar criminologie, geopolitiek, AI en operationele technologie. Voor deze editie analyseerde het bedrijf meer dan 139.000 incidenten uit de periode oktober 2024 tot september 2025.
