Nordkoreanische Staatshacker nutzen Deepfake-Zoom-Anrufe, um Kryptofirmen zu hacken

Nordkoreanische Staatshacker zielen mit mehreren einzigartigen Schadprogrammen, die zusammen mit verschiedenen Betrugsmaschen, darunter gefälschten Zoom-Meetings, eingesetzt werden, auf Krypto-Unternehmen ab. 

Der mit Nordkorea in Verbindung stehende Bedrohungsakteur UNC1069 wurde dabei beobachtet, wie er den Kryptosektor ins Visier nahm, um sensible Daten von Windows- und macOS-Systemen zu stehlen, mit dem letztendlichen Ziel, Finanzdiebstähle zu ermöglichen.

UNC1069 wurde als seit April 2018 aktiv eingestuft. Die Gruppe ist dafür bekannt, Social-Engineering-Kampagnen zum finanziellen Vorteil durchzuführen, indem sie gefälschte Meeting-Einladungen verschickt und sich als Investoren von seriösen Unternehmen ausgibt. 

Gefälschter Zoom-Anruf löst Malware-Angriff auf Krypto-Firma aus

In ihrem jüngsten Bericht schildern die Forscher von Google Mandiant detailliert ihre Untersuchung eines Angriffs auf ein FinTech-Unternehmen der Kryptoindustrie. Laut den Ermittlern begann der Angriff mit einem kompromittierten Telegram-Konto eines Managers aus der Kryptoindustrie. 

Die Angreifer nutzten das gehackte Profil, um Kontakt zum Opfer aufzunehmen. Sie bauten schrittweise Vertrauen auf, bevor sie eine Calendly-Einladung zu einem Videogespräch verschickten. Der Link führte das Opfer zu einer gefälschten Zoom-Domäne, die auf einer Infrastruktur gehostet wurde, die unter der Kontrolle der Angreifer stand.

Während des Anrufs berichtete das Opfer, ein Video gesehen zu haben, das offenbar ein Deepfake-Video des CEO eines anderen Krypto-Unternehmens zeigte.

„Obwohl Mandiant keine forensischen Beweise sichern konnte, umdentbestätigen, ähnelt der gemeldete Betrugsversuch einem zuvor öffentlich bekannt gewordenen Vorfalldent es in dem Bericht heißt.

Die Angreifer erweckten den Eindruck von Audioproblemen in der Besprechung, um den nächsten Schritt zu rechtfertigen. Sie wiesen das Opfer an, auf seinem Gerät Fehlerbehebungsbefehle auszuführen. Diese Befehle, die sowohl für macOS- als auch für Windows-Systeme optimiert waren, initiierten unbemerkt die Infektionskette. Infolgedessen wurden mehrere Schadsoftwarekomponenten aktiviert.

Mandiantdentsieben verschiedene Arten von Schadsoftware, die während des Angriffs eingesetzt wurden. Die Tools waren darauf ausgelegt, auf den Schlüsselbund zuzugreifen und Passwörter zu stehlen, Browser-Cookies und Anmeldeinformationen abzurufen, auf Telegram-Sitzungsinformationen zuzugreifen und weitere private Dateien zu erlangen.

Die Ermittler kamen zu dem Schluss, dass das Ziel zweifach war: die Ermöglichung potenziellen Kryptodiebstahls und das Sammeln von Daten, die zukünftige Social-Engineering-Angriffe unterstützen könnten. Die Untersuchung ergab, dass eine ungewöhnlich große Menge an Tools auf einem einzelnen Host installiert worden war. 

KI-gestützte Betrugscluster weisen eine höhere operative Effizienz auf

Derdent ist Teil eines umfassenderen Musters. Akteure mit Verbindungen zu Nordkorea haben mehr als 300 Millionen Dollar ergaunert, indem sie sich während betrügerischer Zoom- und Microsoft-Teams-Meetings als vertrauenswürdige Branchenvertreter ausgaben.

Das Ausmaß der Aktivitäten im Laufe des Jahres war noch auffälliger. Wie berichtete Cryptopolitan Cryptopolitan, waren nordkoreanische Bedrohungsgruppen im Jahr 2025 für gestohlene digitale Vermögenswerte im Wert von 2,02 Milliarden US-Dollar verantwortlich, ein Anstieg von 51 % gegenüber dem Vorjahr

Chainalysis deckte , dass Betrugsnetzwerke mit Verbindungen zu KI-Dienstleistern eine höhere operative Effizienz aufweisen als solche ohne diese Verbindungen. Laut dem Unternehmen deutet dieser Trend auf eine Zukunft hin, in der KI zu einem Standardbestandteil der meisten Betrugsmaschen wird.

In einem im vergangenen November veröffentlichten Bericht wies die Google Threat Intelligence Group (GTIG) auf den Einsatz von generativen KI-Tools wie Gemini durch die Bedrohungsakteure hin. Diese nutzen sie, um Ködermaterialien und andere kryptobezogene Nachrichten zu erstellen und so ihre Social-Engineering-Kampagnen zu unterstützen.

Seit mindestens 2023 hat die Gruppe ihren Fokus von Spear-Phishing-Techniken und dem traditionellen Finanzsektor (TradFi) hin zur Web3-Branche verlagert, beispielsweise auf zentralisierte Börsen (CEX), Softwareentwickler bei Finanzinstituten, Hightech-Unternehmen und Einzelpersonen bei Risikokapitalfonds.

Google.

Die Gruppe wurde außerdem dabei beobachtet, wie sie versuchte, Gemini zu missbrauchen, um Code zum Diebstahl von Krypto-Assets zu entwickeln. Sie nutzt zudem Deepfake-Bilder und -Videos, die Personen aus der Krypto-Branche imitieren, um in ihren Kampagnen eine Hintertür namens BIGMACHO an Opfer zu verbreiten, indem sie diese als Zoom-Softwareentwicklungskit (SDK) ausgibt.