Bedrohungsakteure, die mit Nordkorea in Verbindung stehen, verstärken ihre Cyber-Operationen, indem sie dezentralisierte und ausweichende Malware-Tools verwenden, so neue Erkenntnisse von Cisco Talos und der Google Threat Intelligence Group.
Die Kampagnen zielen darauf ab, Kryptowährungen zu stehlen, Netzwerke zu infiltrieren und Sicherheitskontrollen durch ausgeklügelte Anwerbungsbetrügereien zu umgehen.
Die Evolution von Malware-Techniken zur Umgehung
Forscher von Cisco Talos identifizierten eine laufende Kampagne der nordkoreanischen Gruppe Famous Chollima, die zwei sich ergänzende Malware-Stämme verwendete: BeaverTail und OtterCookie.
Diese Programme, die traditionell für den Diebstahl von Anmeldeinformationen und die Datenexfiltration eingesetzt werden, haben sich weiterentwickelt, um neue Funktionen und eine engere Interaktion zu ermöglichen.
In einem aktuellen Vorfall, an dem eine Organisation in Sri Lanka beteiligt war, brachten die Angreifer einen Arbeitssuchenden dazu, einen als technische Bewertung getarnten bösartigen Code zu installieren.
Obwohl die Organisation selbst kein direktes Ziel war, beobachteten Cisco Talos-Analysten ein Keylogging- und Screenshot-Capture-Modul, das mit OtterCookie verbunden war. Dieses Modul zeichnete verdeckt Tastatureingaben auf und erfasste Desktop-Bilder, die automatisch an einen Remote-Befehlsserver übertragen wurden.
Diese Beobachtung unterstreicht die kontinuierliche Entwicklung von mit Nordkorea verbundenen Bedrohungsgruppen und deren Fokus auf Social-Engineering-Techniken, um ahnungslose Ziele zu kompromittieren.
Blockchain als Befehlsinfrastruktur
Die Google Threat Intelligence Group (GTIG) identifizierte eine Operation des mit Nordkorea verbundenen Akteurs UNC5342. Die Gruppe verwendete eine neue Malware namens EtherHiding.
Dieses Tool versteckt bösartige JavaScript-Nutzdaten in einer öffentlichen Blockchain und verwandelt diese in ein dezentrales Command-and-Control-Netzwerk (C2).
Mit Hilfe der Blockchain können Angreifer das Verhalten der Malware aus der Ferne ändern, ohne auf herkömmliche Server zurückgreifen zu müssen. Strafverfolgungsmaßnahmen werden dadurch erheblich erschwert.
Außerdem berichtete GTIG, dass UNC5342 EtherHiding in einer Social-Engineering-Kampagne namens Contagious Interview einsetzte, die zuvor von Palo Alto Networks identifiziert worden war, was die Hartnäckigkeit von Bedrohungsakteuren, die mit Nordkorea in Verbindung stehen, belegt.
Zielgruppe: Fachleute aus dem Kryptosektor
Nach Angaben von Google-Forschern beginnen diese Cyber-Operationen typischerweise mit betrügerischen Stellenanzeigen, die auf Fachleute im Kryptowährungs- und Cybersicherheitsbereich abzielen.
Die Opfer werden eingeladen, an gefälschten Bewertungen teilzunehmen, bei denen sie aufgefordert werden, Dateien mit bösartigem Code herunterzuladen.
Was ist EtherHiding?
- blackorbird (@blackorbird) Oktober 16, 2025
Es handelt sich um eine neuartige Technik, bei der die Angreifer bösartige Nutzdaten (wie JADESNOW und INVISIBLEFERRET-Malware) in Smart Contracts auf öffentlichen Blockchains (wie BNB Smart Chain und Ethereum) einbetten. https://t.co/AyKeSuPyWW pic.twitter.com/we4NV2PTu5
Der Infektionsprozess umfasst häufig mehrere Malware-Familien, darunter JadeSnow, BeaverTail und InvisibleFerret. Gemeinsam ermöglichen diese Tools den Angreifern den Zugriff auf Systeme, den Diebstahl von Anmeldeinformationen und die effiziente Verbreitung von Ransomware. Ihre Ziele reichen von Spionage und finanziellem Diebstahl bis hin zur langfristigen Infiltration von Netzwerken.
Cisco und Google haben Indikatoren für die Gefährdung (Indicators of Compromise, IOCs) veröffentlicht, um Unternehmen bei der Erkennung von und der Reaktion auf laufende Cyberbedrohungen im Zusammenhang mit Nordkorea zu unterstützen. Forscher warnen, dass die Integration von Blockchain und modularer Malware die globalen Bemühungen zur Abwehr von Cyberbedrohungen wahrscheinlich weiter erschweren wird.
