Nordkoreanische Hacker nutzen gefälschte Krypto-Unternehmen und Vorstellungsgespräche, um Malware zu verbreiten
In einer erschreckenden neuen Variante der Cyberkriminalität geben sich Hacker mit Verbindungen zu Nordkorea als legitime Kryptowährungsberatungsfirmen aus, um während gefälschter Vorstellungsgespräche Schadsoftware zu verbreiten. Die ausgeklügelte Kampagne, die von Cybersicherheitsexperten aufgedeckt wurde, zeigt, wie weit Bedrohungsakteure gehen, um Systeme zu infiltrieren und vertrauliche Informationen zu stehlen.
Table of Contents
Gefälschte Unternehmen, echte Bedrohungen
Einer detaillierten Analyse von Silent Push zufolge haben die Bedrohungsakteure hinter der sogenannten „Contagious Interview“-Kampagne drei Tarnfirmen gegründet:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper Agentur (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Diese Fake-Unternehmen locken ahnungslose Opfer – meist IT- und Kryptowährungsexperten – in gefälschte Einstellungsverfahren. Unter dem Deckmantel von Programmieraufgaben oder technischen Interviews werden Bewerber dazu verleitet, Malware herunterzuladen, die als legitime Arbeitsmaterialien getarnt ist.
Zu den bei dieser Operation eingesetzten Malware-Familien gehören BeaverTail, InvisibleFerret und OtterCookie – jede davon wurde sorgfältig entwickelt, um eine breite Palette von Systemen zu kompromittieren, darunter Windows, Linux und macOS.
Ein Netz aus Täuschungen
Die Operation „Contagious Interview“, die von Cybersicherheitsfirmen auch unter Namen wie „DeceptiveDevelopment“ und „Famous Chollima“ verfolgt wird, stellt eine dramatische Eskalation der nordkoreanischen Cyberspionagetaktiken dar.
Die Hacker beschränken sich nicht nur auf gefälschte Websites. Sie haben betrügerische Profile auf Social-Media-Plattformen wie Facebook, LinkedIn, Pinterest, X (ehemals Twitter), Medium, GitHub und GitLab erstellt, um ihren Aktivitäten Legitimität zu verleihen. Silent Push stellte fest, dass BlockNovas für seine Website sogar ein ganzes Team von Mitarbeitern erfunden und fälschlicherweise über 12 Jahre Erfahrung behauptet hatte – obwohl das Unternehmen erst neu registriert war.
Diese Täuschung gipfelt in der Verbreitung von Malware. Opfer, die im Rahmen des Einstellungsprozesses ins Visier genommen werden, laden versehentlich BeaverTail herunter, einen JavaScript-Stealer und -Loader, der dann InvisibleFerret installiert, eine Backdoor, die persistent bleibt und sensible Daten exfiltriert. Einige Infektionen hinterlassen zudem ein sekundäres Malware-Tool namens OtterCookie.
Infrastruktur und Ziele
BlockNovas beschränkte sich nicht nur auf Websites und Fake-Profile. Die Ermittler von Silent Push entdeckten auf einer der BlockNovas-Subdomains ein „Status Dashboard“, das zur Überwachung mehrerer an den Angriffen beteiligter Domains genutzt wurde. Darüber hinaus hostete mail.blocknovas[.]com Hashtopolis, ein Open-Source-Tool zum Passwort-Cracking.
Die gefälschten Rekrutierungskampagnen haben bereits Opfer gefordert. In einem bestätigten Fall aus dem September 2024 wurde die MetaMask-Kryptowährungs-Wallet eines Entwicklers kompromittiert.
Eine weitere alarmierende Entdeckung betraf eine Site namens Kryptoneer (gehostet auf attisscmo[.]com), die Dienste zum Verbinden von Kryptowährungs-Wallets anbietet – ein Schritt, der möglicherweise darauf abzielt, Blockchain-Benutzer ins Visier zu nehmen, insbesondere diejenigen, die mit der Sui-Blockchain verbunden sind.
Durchgreifen und internationale Auswirkungen
Am 23. April 2025 haben US-amerikanische Strafverfolgungsbehörden, darunter das FBI, die BlockNovas-Domäne beschlagnahmt und als Grund ihre Rolle bei der Verbreitung von Schadsoftware unter dem Deckmantel gefälschter Stellenangebote angeführt.
Neben den technischen Angriffen haben Forscher festgestellt, dass die Bedrohungsakteure KI-gestützte Tools wie Remaker nutzen, um realistische Fake-Profilbilder zu erstellen und so die Glaubwürdigkeit ihrer Fake-Unternehmen zu erhöhen. Es gibt auch Hinweise auf Verbindungen zur russischen Infrastruktur: Ermittler konnten die Operation auf russische IP-Bereiche zurückführen, die durch VPNs, Proxys und VPS-Server nahe der nordkoreanisch-russischen Grenze maskiert waren.
Angesichts dieser Verbindungen gehen Experten davon aus, dass es zwischen nordkoreanischen und russischen Cyberkriminellen zu einer gewissen Zusammenarbeit oder zumindest zur gemeinsamen Nutzung der Infrastruktur kommen könnte, auch wenn die Wahrscheinlichkeit einer solchen Zusammenarbeit gering bis mittel ist.
Das Gesamtbild: Wagemole und GenAI Tools
Die „Contagious Interview“-Kampagne ist nur ein Aspekt einer umfassenderen nordkoreanischen Strategie. Eine weitere Taktik, bekannt als „Wagemole“, besteht darin, dass nordkoreanische Agenten mithilfe künstlicher Intelligenz generierte Identitäten nutzen, um sich legale Jobs bei ausländischen Unternehmen zu sichern. Die Gehälter aus diesen Jobs fließen dann zurück an das Regime.
Das Cybersicherheitsunternehmen Okta warnte, dass nordkoreanische Vermittler zunehmend Tools der generativen künstlichen Intelligenz (GenAI) verwenden, um Zeitpläne zu verwalten, Gespräche zu transkribieren und Interviews in Echtzeit zu übersetzen. Dadurch seien ihre Infiltrationsversuche schwerer zu erkennen und zu unterbinden.
Erhöhte Wachsamkeit ist entscheidend
Diese Kampagne verdeutlicht die zunehmende Raffinesse staatlich geförderter Cyberangriffe und den innovativen Einsatz von Social Engineering. Tech-Mitarbeiter, insbesondere im Kryptowährungs- und Finanzsektor, müssen bei Stellenangeboten äußerst wachsam bleiben, insbesondere wenn der Einstellungsprozess überstürzt oder ungewöhnlich erscheint oder das Herunterladen unbekannter Dateien erfordert.
Unternehmen müssen ihre Bewerberauswahlprozesse und ihre Cybersicherheitsmaßnahmen stärken. In einer Zeit, in der ein scheinbar harmloses Stellenangebot verheerenden Malware-Infektionen Tür und Tor öffnen kann, ist Vorsicht nicht mehr optional – sie ist unerlässlich.
