Nordkorea nutzt seit kurzem gefälschte, KI-gestützte Zoom-Anrufe, um Profile aus dem Kryptowährungssektor zu ködern und ihre Geldbörsen innerhalb weniger Minuten zu leeren. Wie kann eine einfache Videokonferenz ausreichen, um die vollständige Kontrolle über Ihre Geräte zu übernehmen und selbst die Wachsamkeit der Versiertesten zu umgehen?
Ein groß angelegtes Programm mit dem Ziel, öffentliche Konten zu füllen
Seit Anfang 2020 führt Nordkorea im Rahmen eines Programms zur Generierung von Einnahmen für die Regierung eine weltweite Operation zur Infiltration von Unternehmen durch, wobei es sich seiner Armee von „falschen Telearbeitern” bedient. Es scheint, dass ein Teil dieser Arbeitskräfte kürzlich für eine völlig neue Social-Engineering-Kampagne umgeschichtet wurde, die diesmal auf den Kryptowährungssektor abzielt.
🚨 WARNUNG (NOCHMAL)
DPRK-Bedrohungsakteure schaden immer noch viel zu vielen von euch durch ihre gefälschten Zoom-/Teams-Meetings.
Sie übernehmen eure Telegram-Konten und nutzen sie, um all euren Freunden zu schaden.
Mit dieser Methode haben sie bereits über 300 Millionen Dollar gestohlen.
Lest das hier. Beendet diesen Kreislauf. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13. Dezember 2025
In letzter Zeit wurden fast 300 Millionen Dollar gestohlen, erklärt Taylor Monahan (besser bekannt unter dem Pseudonym Tayvano), Sicherheitsforscher bei MetaMask.
Die Vorgehensweise ist recht bekannt und gut dokumentiert, da Microsoft Threat Intelligence diese Aktivitäten seit 2024 beobachtet. Der Angreifer stiehlt zunächst ein kohärentes und legitimes Profil, das zu seinem Ziel passt. Anschließend erstellt er ein ganzes digitales Ökosystem rund um dieses gestohlene Profil (Messenger, soziale Netzwerke, GitHub- oder LinkedIn-Profile), um einen legitimen digitalen Fußabdruck zu hinterlassen.
Anschließend wird künstliche Intelligenz (KI) eingesetzt, um das Bild ihres Quellprofils auf Bilder und Videos zu übertragen, die ihren Zwecken dienen. Sie verwenden auch VPNs, VPS, Proxy-Dienste und RMM-Tools, um ihren Standort und ihre wahre digitale Identität zu verschleiern.
Dies bestätigte kürzlich auch Clarisse Hagège, Gründerin von Dfns, die uns anvertraute, Ziel eines Einbruchsversuchs durch drei nordkoreanische Hacker gewesen zu sein.
Sie betont außerdem, dass der Kryptowährungssektor ein bevorzugtes Ziel in der Strategie Nordkoreas darstellt. Das vollständige Interview finden Sie in unserem Podcast:
Bewerber müssen mindestens drei Referenzen zu ihren früheren Arbeitsstellen angeben. Die Leute vergessen das oft, aber es funktioniert sehr gut.
Eine Social-Engineering-Kampagne, die Plattformen wie Teams oder Zoom nutzt
Diese Strategie wird heute wiederverwendet und auf neue Ziele ausgerichtet. Wie Taylor Monahan beschreibt, geht der Angriff auf die Kompromittierung eines legitimen Telegram-Kontos zurück. Bei den Zielkonten handelt es sich oft um Risikokapitalgeber oder Referenten, also Personen, die unsere Neigung, Autoritäten zu vertrauen, ausnutzen können.
Nachdem sie die Konversationshistorie ihres ersten Opfers sorgfältig analysiert haben, um ihre Legende zu untermauern, nutzen sie die bereits bestehenden Kontakte. Diese werden über einen getarnten Calendly-Link zu Zoom- oder Teams-Meetings weitergeleitet.
🇰🇵 Aktuelles – Nordkorea soll hinter dem 30-Millionen-Dollar-Hack von Upbit stecken
Im Video interagiert das Opfer mit einer wiederverwendeten Aufzeichnung eines Podcasts oder eines öffentlichen Auftritts der Autoritätsperson. Dank einer intelligenten Nutzung von KI wirkt der Videostream legitim.
Der Angreifer simuliert dann Audio- oder Videoprobleme. Er fordert sein Opfer auf, ein SDK herunterzuladen, mit dem er die Verbindung wiederherstellen kann. Dieses SDK führt ein bösartiges Skript aus und installiert Malware auf dem Computer des Opfers. Dieser Trojaner gewährt vollständige Kontrolle über den Computer des Opfers und ermöglicht den uneingeschränkten Zugriff auf die Wallets des Opfers.
Verstärken Sie Ihre operative Sicherheit und seien Sie wachsam
Um sich vor solchen Bedrohungen zu schützen, ist es unerlässlich, dass Sie über eine starke Authentifizierung (starkes Passwort) und eine Multi-Faktor-Authentifizierung (MFA- und 2FA-Anwendung) für Ihre Kommunikationsanwendungen verfügen.
Darüber hinaus ist es wichtig, sich daran zu erinnern, dass Sie bei einer Unterhaltung mit Ihrem Gesprächspartner wissen müssen, wer Ihnen schreibt (Authentizität), dass das, was Ihnen geschrieben wird, nicht verändert wurde (Authentizität) und dass niemand sonst von Ihrem Austausch Kenntnis hat (Vertraulichkeit).
Laden Sie außerdem niemals Datenpakete herunter, wenn Sie sich nicht über deren Integrität und Legitimität sicher sind. Ist dies nicht der Fall, können Sie sie in einer dedizierten virtuellen Maschine öffnen, um den Inhalt zu überprüfen.
Wenn Ihr Telegram-Konto kompromittiert wurde, löschen Sie Ihren Account und benachrichtigen Sie Ihre Kontakte, um sie zu warnen und die Betrugskette zu unterbrechen.
Seien Sie wachsam und denken Sie daran, dass Sie aufgrund Ihrer anthropologischen Funktionsweise kognitiven Verzerrungen (Autoritätsverzerrung, Vertrautheitsverzerrung, Dringlichkeitsverzerrung…) ausgesetzt sind. Wenn diese ausgenutzt werden, sind Sie wahrscheinlich ein leichtes Opfer.
