Nordkoreanische Hacker zielen jetzt auf Krypto-Firmen mit mehreren Malware-Angriffen, die zusammen mit mehreren Betrügereien, einschließlich gefälschter Zoom-Meetings, bereitgestellt werden.

Der nordkoreanische Bedrohungsakteur, bekannt als UNC1069, wurde beobachtet, wie er den Kryptosektor angriff, um sensible Daten von Windows- und macOS-Systemen zu stehlen, mit dem ultimativen Ziel, finanzielle Diebstähle zu erleichtern. Es wurde festgestellt, dass UNC1069 seit April 2018 aktiv ist. Es hat eine Geschichte von Social Engineering-Kampagnen zum finanziellen Gewinn, bei denen gefälschte Meeting-Einladungen verwendet wurden und es sich als Investoren von seriösen Unternehmen ausgab.

Nordkoreanische Hacker zielen auf Firmen mit Deepfake-Zoom-Anrufen ab.

In ihrem neuesten Bericht haben Google Mandiant-Forscher ihre Untersuchung zu einem Eindringen in ein FinTech-Unternehmen in der Kryptoindustrie detailliert. Laut den Ermittlern begann das Eindringen mit einem kompromittierten Telegram-Konto, das einem Führungskraft der Kryptoindustrie gehörte. Die Angreifer nutzten das gehackte Profil, um das Opfer zu kontaktieren.

Sie bauten allmählich Vertrauen auf, bevor sie eine Calendly-Einladung für ein Video-Meeting sendeten. Der Meeting-Link leitete das Ziel zu einer gefälschten Zoom-Domain, die auf Infrastruktur gehostet wurde, die unter der Kontrolle der Bedrohungsakteure stand. Während des Anrufs berichtete das Opfer, dass es ein Video gesehen hatte, das wie ein Deepfake-Video eines CEOs eines anderen Krypto-Unternehmens aussah.

„Während Mandiant nicht in der Lage war, forensische Beweise zu sammeln, um die Verwendung von KI-Modellen in diesem speziellen Fall unabhängig zu verifizieren, ähnelt der gemeldete Trick einem zuvor öffentlich gemeldeten Vorfall mit ähnlichen Merkmalen, bei dem auch angeblich Deepfakes verwendet wurden“, heißt es in dem Bericht.

AI-Link-Betrügereien nehmen zu.

Die Angreifer erweckten den Eindruck von Audioproblemen in der Sitzung, um den nächsten Schritt zu rechtfertigen. Sie wiesen das Opfer an, Fehlersuche-Befehle auf ihrem Gerät auszuführen. Diese Befehle, die sowohl für macOS- als auch für Windows-Systeme maßgeschneidert waren, initiierten heimlich die Infektionskette. Infolgedessen wurden mehrere Malware-Komponenten aktiviert. Mandiant identifizierte sieben verschiedene Arten von Malware, die während des Angriffs verwendet wurden.

Die Werkzeuge wurden entwickelt, um auf den Schlüsselbund zuzugreifen und Passwörter zu stehlen, Browser-Cookies und Anmeldeinformationen abzurufen, Telegram-Sitzungsinformationen zuzugreifen und andere private Dateien zu erhalten. Die Ermittler schätzten, dass das Ziel zweifach war: Um potenziellen Krypto-Diebstahl zu ermöglichen und Daten zu sammeln, die zukünftige Social Engineering-Angriffe unterstützen könnten. Die Untersuchung ergab ein ungewöhnlich großes Volumen an Werkzeugen, die auf einen einzigen Host abgeladen wurden.

Der Vorfall ist Teil eines breiteren Musters. Mit Nordkorea verbundene Akteure haben mehr als 300 Millionen Dollar erbeutet, indem sie sich während betrügerischer Zoom- und Microsoft Teams-Meetings als vertrauenswürdige Branchenfiguren ausgaben. Das Ausmaß der Aktivitäten im Laufe des Jahres war sogar noch auffälliger. Wie von Cryptopolitan berichtet, waren nordkoreanische Bedrohungsgruppen im Jahr 2025 für 2,02 Milliarden Dollar an gestohlenen digitalen Vermögenswerten verantwortlich, ein Anstieg von 51 % im Vergleich zum Vorjahr.

Der Beitrag über nordkoreanische Hacker, die Deepfake-Anrufe einsetzen, um Krypto-Firmen zu hacken, erschien zuerst auf Coinfea.