In einer gewagten Cyber-Kampagne wurde die berüchtigte Lazarus-Gruppe aus Nordkorea dabei ertappt, gefälschte US-amerikanische Unternehmen zu gründen. Einem aktuellen Bericht von Reuters zufolge zielten die Aktionen darauf ab, ahnungslose Krypto-Entwickler zu ködern und ihre digitalen Geldbörsen zu kompromittieren.
Die Hacker registrierten fiktive Firmen, darunter Blocknovas LLC in New Mexico und Softglide LLC in New York, indem sie falsche Identitäten und Adressen verwendeten. Eine dritte Einheit, Angeloper Agency, wird ebenfalls mit dem Plan in Verbindung gebracht, obwohl sie keine offizielle Registrierung in den USA aufweist. Diese Unternehmen waren keine reinen Mantelgesellschaften. Sie schufen authentisch aussehende Online-Präsenzen, schrieben Entwicklerjobs aus und führten scheinbar normale Einstellungsverfahren durch.
Raffinierte Social-Engineering-Techniken
Die Operation umfasste gezielte Phishing-Angriffe, die als Jobrekrutierungsversuche getarnt waren. Die als US-Tech-Startups auftretenden Scheinunternehmen der Lazarus-Gruppe erstellten glaubwürdige LinkedIn- und Upwork-Profile, um Krypto-Entwickler in fingierte Bewerbungsprozesse zu locken. Sobald die Entwickler reagierten, wurden sie aufgefordert, Testdateien oder Entwicklertools herunterzuladen, die tatsächlich mit Malware versehen waren.
Nach der Installation ermöglichte die Malware Fernzugriff auf das System des Opfers. Die Hacker entwendeten dann sensible Daten wie Crypto-Wallet-Keys, im Browser gespeicherte Passwörter und Zugangsdaten für wichtige Entwicklerplattformen. Laut Silent Push ist dies einer der ersten bekannten Fälle, in denen nordkoreanische Hacker legal registrierte US-Unternehmen gegründet haben.
FBI ergreift Maßnahmen
Das FBI hat inzwischen die Domain, die mit Blocknovas LLC in Verbindung steht, im Rahmen einer umfassenderen Maßnahme gegen Nordkoreas Cyber-Operationen beschlagnahmt. Ein Sprecher des FBI betonte, das Büro sei bestrebt, “Risiken und Konsequenzen nicht nur für die DPRK-Akteure selbst, sondern auch für alle, die ihre Pläne unterstützen, zu schaffen.”
Kasey Best, Director für Bedrohungsanalysen bei Silent Push, unterstrich die Ernsthaftigkeit der Kampagne und merkte an, dass bereits mehrere Opfer bestätigt wurden. “Sie haben nicht nur gefälschte Lebensläufe oder Phishing-E-Mails verwendet,” erklärte Best. “Sie gingen aufs Ganze mit US-Unternehmensregistrierungen, Domains und sozialen Konten. Es ist ein neues Niveau an operativer Raffinesse.”
Um Überwachung zu umgehen, leiteten Lazarus-Operative Berichten zufolge Angriffe über russische Infrastruktur. Sie nutzten IP-Adressen in Khasan und Khabarovsk, Regionen, die direkte Verbindungen nach Nordkorea haben. Mit Hilfe von VPNs und Proxy-Diensten wie Astrill und CCProxy hielten die Angreifer die Befehls- und Steuerkommunikation aufrecht. Zudem konnten sie Plattformen wie GitHub, Upwork und Telegram problemlos nutzen.
Forschungsergebnisse von Silent Push brachten außerdem Schulungsmaterialien ans Licht, darunter sieben Lehrvideos, die von Konten im Zusammenhang mit Blocknovas veröffentlicht wurden. Diese Tutorials behandelten den Aufbau von C2-Servern und die Extraktion von Browser-Passwörtern. Zudem gab es Anleitungen zum Hochladen gestohlener Daten auf Dropbox und zum Knacken von Krypto-Wallets mittels Tools wie Hashtopolis.
Obwohl das unmittelbare Ziel dieser Operationen der finanzielle Diebstahl ist, gibt es Anzeichen dafür, dass der Schaden tiefer gehen könnte. Einige gestohlene Zugangsdaten könnten an andere staatlich ausgerichtete Einheiten übergeben worden sein, möglicherweise für Spionage und langfristige Infiltration.
WEITERLESEN: Kursanstieg von FLOKI & WIF um 20% — Warum ein neuer Meme Coin jetzt die bessere Krypto-Wahl sein könnte
