Wie nordkoreanische Hacker durch Deepfake-Zoom-Anrufe Kryptowährungen erbeuten.
Eine Gruppe von Hackern aus Nordkorea hat eine Krypto-Firma mit gefälschten Zoom-Anrufen angegriffen.
Bei diesem Vorfall kamen sieben verschiedene Arten von Malware zum Einsatz, um Zugangsdaten und andere sensible Informationen zu stehlen.
Fortschrittliche Betrugsmethoden durch KI
Eine Bedrohungsgruppe mit Verbindungen zu Nordkorea hat ihre Methoden im Bereich des Social Engineering verfeinert. Diese Gruppe nutzt nun auch KI-gestützte Täuschungen bei Angriffen, die sich auf den Krypto-Sektor konzentrieren. Dies geht aus einem aktuellen Bericht des Mandiant-Teams von Google hervor.
Der Vorfall verdeutlicht, dass Hacker sich kontinuierlich weiterentwickeln. Insbesondere der Bereich der digitalen Vermögenswerte wurde zunehmend ins Visier genommen, wobei im Jahr 2025 ein signifikanter Anstieg zu verzeichnen war. Laut einem Bericht über die Auswirkungen der Cyberkriminalität wurden über 35 Millionen Dollar in Krypto gewaschen.
Angriff durch gefälschte Zoom-Konferenz
Im Bericht von Mandiant wird ein Angriff auf eine FinTech-Firma im Krypto-Sektor beschrieben, der der Gruppe UNC1069 zugeschrieben wird. Diese Bedrohungsgruppe ist finanziell motiviert, seit mindestens 2018 aktiv und hat Verbindungen zu Nordkorea.
„Mandiant hat festgestellt, dass diese Gruppe ihre Taktiken, Techniken und Methoden (TTPs), Werkzeuge und Ziele anpasst. Seit mindestens 2023 liegt der Fokus nicht mehr auf traditionellen Phishing-Angriffen oder dem traditionellen Finanzsektor (TradFi), sondern verstärkt auf der Web3-Branche. Dies betrifft zentrale Börsen (CEX), Software-Entwickler in Finanzunternehmen, Hightech-Firmen sowie Personen aus Risikokapitalfonds“, so der Bericht.
Manipulation durch technische Täuschung
Der Link, der an das Ziel gesendet wurde, führte zu einer gefälschten Zoom-Seite, die auf der Infrastruktur der Angreifer gehostet wurde. Während des Gesprächs sah das Opfer vermutlich ein Deepfake-Video eines angeblichen Geschäftsführers eines anderen Krypto-Unternehmens.
„Mandiant konnte keine forensischen Beweise finden, die den Einsatz von KI-Modellen in diesem speziellen Fall eindeutig bestätigen. Allerdings ähnelt das Vorgehen früheren Fällen, in denen ebenfalls Deepfakes verwendet wurden“, heißt es im Bericht.
Die Angreifer erweckten den Eindruck, während des Meetings gäbe es technische Probleme. Dies diente als Vorwand, um das Opfer dazu zu bringen, bestimmte Befehle zur Fehlerbehebung auf seinem Gerät auszuführen.
Ziele und Muster der Angriffe
Diese Befehle, die für macOS und Windows angepasst waren, starteten heimlich die Infektionskette und luden mehrere Malware-Komponenten auf das Gerät des Opfers herunter.
Laut den Ermittlungen verfolgten die Angreifer zwei Hauptziele: Zum einen sollte ein möglicher Krypto-Diebstahl ermöglicht werden, zum anderen die Sammlung von Daten für zukünftige Social-Engineering-Angriffe. Ein ähnlicher Fall wurde dokumentiert, als ein Chinese 46 Monate Haft für 36,9 Mio. USD Krypto-Geldwäsche erhielt.
Die Untersuchung ergab, dass viele Werkzeuge auf einem einzigen Gerät installiert wurden, was darauf hindeutet, dass die Angreifer gezielt viele Daten von einer Person stehlen wollten.
Ein Teil eines größeren Trends
Der Vorfall ist kein Einzelfall, sondern Teil eines größeren Trends. Im Dezember 2025 berichteten Quellen, dass Akteure mit Verbindungen zu Nordkorea über 300 Millionen USD erbeutet hatten, indem sie sich in betrügerischen Zoom- und Microsoft-Teams-Meetings als vertrauenswürdige Personen aus der Branche ausgaben.
Besonders auffällig waren die Aktivitäten im gesamten Jahr 2025. Insgesamt waren nordkoreanische Gruppen für 2,02 Milliarden USD an gestohlenen digitalen Vermögenswerten verantwortlich, was einem Anstieg von 51 Prozent im Vergleich zum Vorjahr entspricht.
Chainalysis stellte zudem fest, dass Betrügergruppen, die mit KI-Diensten verbunden sind, deutlich effizienter arbeiten als solche ohne diese Verbindungen. Dies deutet darauf hin, dass KI bald zum Standardwerkzeug für viele Betrugsmaschen werden könnte.
Da KI-Tools immer zugänglicher und leistungsfähiger werden, ist die Erstellung glaubwürdiger Deepfakes heute einfacher denn je. In naher Zukunft wird sich zeigen, ob der Krypto-Sektor in der Lage ist, seine Sicherheitsmaßnahmen schnell genug anzupassen, um diesen fortschrittlichen Bedrohungen zu begegnen. Ein Beispiel für innovative Ansätze im Krypto-Bereich ist Polymarket: Bots generieren Rekordgewinne und verändern Prognosemärkte.
Schreibe einen Kommentar