Nordkoreanische Hacker zielen auf Krypto mit gefälschten Firmen und Stellenangeboten

Forscher der Cybersicherheitsfirma Silent Push haben eine ausgeklügelte Kampagne der nordkoreanischen Advanced Persistent Threat (APT)-Gruppe, bekannt als Contagious Interview (auch „Famous Chollima“), einer Untergruppe der berüchtigten Lazarus-Gruppe, aufgedeckt.

Diese Operation umfasste die Gründung gefälschter Kryptowährungsunternehmen in den USA und die Verwendung von irreführenden Vorstellungsgesprächstaktiken, um Malware zu verbreiten und Organisationen zu infiltrieren.

Wichtigste Erkenntnisse

Laut Silent Push haben die Hacker drei Tarnunternehmen im Kryptowährungsbereich gegründet — BlockNovas LLC in New Mexico, Angeloper Agency und SoftGlide LLC in New York, unter Verwendung falscher Identitäten und Adressen. Die Angeloper Agency ist in den USA nicht registriert.

„In dieser neuen Kampagne nutzt die Bedrohungsakteurgruppe drei Tarnunternehmen in der Kryptowährungsberatungsbranche — BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com) und SoftGlide LLC (softglide[.]co) — um Malware über ‚Vorstellungsgespräch-Ablenkungen‘ zu verbreiten“, sagte Silent Push in einem detaillierten Blogbeitrag.

Diese Entitäten, die sich als legitime Kryptowährungsberatungsfirmen ausgeben, wurden geschaffen, um ahnungslose Krypto-Job-Suchende dazu zu verleiten, Malware herunterzuladen, Krypto-Wallets zu kompromittieren und Zugangsdaten zu stehlen.

Neben gefälschten Unternehmen wurden die Bewerber durch gefälschte Stellenanzeigen und LinkedIn-ähnliche Profile angesprochen, bei denen sie dazu verleitet wurden, mit Malware infizierte Dateien herunterzuladen, die als Bewerbungsunterlagen oder Einarbeitungsdokumente getarnt waren.

Die drei in dieser Kampagne identifizierten Malware-Stämme sind BeaverTail, InvisibleFerret und OtterCookie, die zuvor mit nordkoreanischen Cyber-Einheiten in Verbindung gebracht wurden. Diese Programme konnten Daten stehlen, Hintertürzugang zu infizierten Systemen bereitstellen und als Einstiegspunkte für Folgeangriffe mit zusätzlicher Spyware oder Ransomware dienen.

Laut Silent Push wurde Blocknovas, das aktivste der drei Tarnunternehmen, am 23. April 2025 vom FBI (Bundesamt für Untersuchung) beschlagnahmt. Die auf der Seite veröffentlichte Mitteilung besagt, dass die Seite „im Rahmen einer Strafverfolgungsmaßnahme gegen nordkoreanische Cyberakteure, die diese Domain genutzt haben, um Personen mit gefälschten Stellenangeboten zu täuschen und Malware zu verbreiten“, heruntergenommen wurde.

Neben der Nutzung von Diensten wie Astrill VPN und Wohnproxy-Servern zur Verschleierung ihrer Infrastruktur und Aktivitäten setzte die Contagious Interview-Kampagne auch KI-Tools wie „Remaker AI“ (remaker[.]ai) ein, um überzeugende Profile gefälschter Mitarbeiter für die drei Tarn-Krypto-Unternehmen zu erstellen, um die Glaubwürdigkeit dieser betrügerischen Firmen zu erhöhen.

Schließlich nutzte die Kampagne im Rahmen der Krypto-Angriffe stark Plattformen wie GitHub, Stellenbörsen und Freelancer-Websites, um potenzielle Opfer zu erreichen und schadhafte Software zu verbreiten.

Auswirkungen und Empfehlungen

Da sich nordkoreanische Cyberbedrohungen weiterentwickeln, unterstreicht diese Kampagne die Notwendigkeit erhöhter Wachsamkeit in den Cybersicherheitspraktiken, insbesondere im Kryptowährungssektor und während des Einstellungsprozesses.

Um sich gegen diese ausgeklügelten Angriffe zu schützen, sollten Organisationen strenge Überprüfungsprozesse für Bewerber implementieren, einschließlich persönlicher oder Video-Interviews und gründlicher Hintergrundprüfungen, und die Mitarbeiter über die Risiken unaufgeforderter Stellenangebote und Interviews aufklären.

Für eine detaillierte Analyse dieser Kampagne können Sie den vollständigen Bericht von Silent Push einsehen: Contagious Interview Front Companies.