Nordkoreanische Cyber-Kriminelle haben einen ausgeklügelten Strategiewechsel bei ihren Social-Engineering-Kampagnen vollzogen und es geschafft, mehr als 300 Millionen Dollar zu stehlen, indem sie sich in gefälschten Videobegegnungen als vertrauenswürdige Persönlichkeiten der Branche ausgaben.
Dieser von MetaMask-Sicherheitsforscher Taylor Monahan (bekannt als Tayvano) veröffentlichte Warnhinweis beschreibt einen komplexen "langen Betrug" (long-con), der auf Krypto-Führungskräfte abzielt.
Der Köder: Entführte Telegram-Konten und gefälschte Kontakte
Monahan zufolge markiert die Kampagne eine Abkehr von den jüngsten Angriffen, die auf deepfakes mit künstlicher Intelligenz setzten. Stattdessen wird ein direkterer Ansatz verfolgt, der auf dem Hijacking von Telegram-Konten und der Verwendung von Loop-Filmmaterial basiert, das aus echten Interviews recycelt wurde.
"Die DPRK-Bedrohungsakteure zocken immer noch zu viele von euch durch ihre gefälschten Treffen auf Zoom/Teams ab", sagte er said Monahan on X
🚨 WARNUNG (WIEDER)
- Tay 💖 (@tayvano_) Dezember 13, 2025
Die DPRK-Bedrohungsakteure zocken immer noch viel zu viele von euch über ihre gefälschten Zoom-/Fake-Teams-Treffen ab.
Sie übernehmen Ihre Telegramme -> und benutzen sie, um alle Ihre Freunde zu rektifizieren.
Sie haben mit dieser Methode bereits über 300 Millionen Dollar gestohlen.
Lesen Sie dies. Stoppe den Kreislauf. 🙏 pic.twitter.com/tJTo9lkq0v
Der Angriff beginnt in der Regel, nachdem Hacker die Kontrolle über ein vertrauenswürdiges Telegram-Konto erlangt haben, das häufig einem Venture Capitalist oder einer Person gehört, die das Opfer zuvor auf einer Konferenz getroffen hat. Die Angreifer nutzen dann frühere Chatverläufe aus, um legitim zu erscheinen, und führen das Opfer über einen getarnten Kalenderlink zu einem Videoanruf auf Zoom oder Microsoft Teams.
Die Inszenierung: Wiederverwendete Videos und vorgetäuschte technische Probleme
Wenn das Treffen begonnen hat, sieht das Opfer ein scheinbar live übertragenes Video seines Kontakts. In Wirklichkeit handelt es sich oft um eine wiederverwendete Aufzeichnung eines Podcasts oder öffentlichen Auftritts.
Der entscheidende Moment kommt in der Regel nach einem simulierten technischen Problem. Nach dem Hinweis auf Audio- oder Videoprobleme fordert der Angreifer das Opfer auf, die Verbindung wiederherzustellen, indem er ein bestimmtes Skript herunterlädt oder ein Software Development Kit (SDK) aktualisiert. Die dann gelieferte Datei enthält die bösartige Payload.
Der letzte Schlag und die Rolle von RAT
Sobald die Malware - häufig ein Remote Access Trojan (RAT) - installiert ist, erhält der Angreifer die vollständige Kontrolle über das System. Der RAT leert Cryptocurrency-Wallets und exfiltriert sensible Daten, einschließlich interner Sicherheitsprotokolle und Telegram-Sitzungs-Tokens, die dann verwendet werden, um das nächste Opfer im Netzwerk anzugreifen.
Monahan warnte, dass dieser spezielle Träger "die professionelle Höflichkeit bewaffnet". Die Hacker verlassen sich auf den psychologischen Druck eines 'Geschäftstreffens', um eine Fehleinschätzung zu erzwingen, die eine Störungsbehebung-Anfrage von Routinen in eine fatale Sicherheitsverletzung verwandelt. Für die Branchenteilnehmer gilt jede Aufforderung zum Herunterladen von Software während eines Anrufs als aktives Angriffssignal.
Diese Strategie der 'gefälschten Treffen' ist Teil einer breiteren Offensive der nordkoreanischen Akteure, die im vergangenen Jahr schätzungsweise 2 Milliarden Dollar aus der Branche veruntreut haben, einschließlich des Bybit-Einbruchs.
