Nordkoreas Lazarus-Gruppe lockt mit Krypto-Geschenken in die Sicherheitsfalle

Die nordkoreanische Hackergruppe Lazarus hat eine neue, perfide Methode entwickelt, um in Krypto-Unternehmen einzudringen: Sie ködert ihre Opfer mit Kryptowährungs-Geschenken im Rahmen eines ausgeklügelten Social-Engineering-Angriffs. Wie CryptoSlate berichtet, dient diese Taktik dazu, das Vertrauen der Zielpersonen zu gewinnen, bevor bösartiger Code eingeschleust wird.

Der unter dem Pseudonym 23pds bekannte Chief Information Security Officer (CISO) der Web3-Sicherheitsfirma SlowMist erklärte gegenüber CryptoSlate, dass diese Taktik darauf abzielt, das Vertrauen des Opfers zu erschleichen, bevor Schadsoftware eingesetzt wird. Laut 23pds erhielt ein Empfänger mindestens 400 US-Dollar in USDT, wobei die tatsächlichen Zahlungen Tausende von Dollar erreichen können. "Lazarus-Hacker leisten ihren Opfern im Voraus direkte Zahlungen in Höhe von Hunderten oder sogar Tausenden von Dollar... nur um das Vertrauen des Opfers zu gewinnen", so 23pds.

Durch diese Zahlungen sollen die Angreifer einen seriösen Eindruck erwecken und die Wahrscheinlichkeit erhöhen, dass die Opfer ihren Anweisungen folgen. Im Gegensatz zu herkömmlichen Cyberangriffen, die technische Schwachstellen ausnutzen, konzentriert sich dieser Social-Engineering-Ansatz auf die Manipulation menschlichen Verhaltens. Die Hacker identifizieren Mitarbeiter von Krypto-Unternehmen, nehmen Kontakt auf und senden ihnen digitale Vermögenswerte, um Glaubwürdigkeit vorzutäuschen. Sobald Vertrauen aufgebaut ist, werden die Opfer dazu gebracht, bösartigen Code mit Hintertüren auszuführen.

Diese Interaktionen finden häufig über private GitHub-Repositorys oder Live-Chat-Tools statt. Sobald der Zugriff gewährt wurde, manipulieren die Angreifer die Opfer zur Ausführung des kompromittierten Codes, was unbefugten Zugriff auf die Unternehmenssysteme ermöglicht. Angesichts dieser Bedrohung warnte 23pds, dass Krypto-Unternehmen ihre internen Sicherheitsmaßnahmen verstärken und ihre Mitarbeiter im Erkennen solcher betrügerischen Taktiken schulen müssen. "Alle Plattformen sollten sich selbst überprüfen und sicherstellen, dass sie auf Sicherheit achten und ihre Mitarbeiter im Sicherheitsbewusstsein schulen", fügte er hinzu, wie CryptoSlate berichtet.

Der Vorfall verdeutlicht die sich ständig weiterentwickelnde Natur von Krypto-bezogener Kriminalität, da die Sicherheitsbedenken in der Branche zunehmen. Er deutet auch darauf hin, dass sich die Lazarus-Gruppe nach reduzierter Aktivität Ende 2024 möglicherweise auf ein Wiederaufleben vorbereitet. Wie die NCC Group berichtet, ist die Lazarus-Gruppe seit über 10 Jahren aktiv und für einige der größten Cyberangriffe weltweit verantwortlich, darunter der Angriff auf Sony Pictures im Jahr 2014 und die Verbreitung der WannaCry-Ransomware im Jahr 2017. Die Gruppe ist stark finanziell motiviert und versucht, die schwache nordkoreanische Wirtschaft zu stützen.

Im Jahr 2024 stahlen von Nordkorea unterstützte Hacker 1,34 Milliarden US-Dollar der insgesamt 2,2 Milliarden US-Dollar, die aus dem Krypto-Sektor gestohlen wurden. Dies entspricht einem Anstieg von 103 % gegenüber den 660 Millionen US-Dollar, die Nordkorea im Jahr 2023 zugeschrieben wurden. Wie Wired berichtet, wurde die Lazarus-Gruppe auch für den Diebstahl von 540 Millionen US-Dollar aus dem Ronin-Netzwerk im Jahr 2022 verantwortlich gemacht. Die Häufigkeit der Angriffe ging jedoch nach einem Gipfeltreffen zwischen dem russischen Präsidenten Wladimir Putin und dem nordkoreanischen Machthaber Kim Jong Un Ende Juni 2024 deutlich zurück.

Das US-Finanzministerium sanktionierte 2020 zwei chinesische Staatsangehörige wegen der Geldwäsche von gestohlener Kryptowährung für die Lazarus-Gruppe, wie auf der Website des Finanzministeriums zu lesen ist. SecurityScorecard berichtete im Januar 2025 über die "Operation 99", bei der Softwareentwickler mit gefälschten Stellenangeboten ins Visier genommen wurden. SC Media berichtete im Juli 2023 über einen Supply-Chain-Angriff der Lazarus-Gruppe auf JumpCloud.