Berüchtigte nordkoreanische Hacker nehmen indische Krypto-Kandidaten mit gefälschten Vorstellungsgesprächen und Malware ins Visier, die Daten und Geldbörsen stiehlt.
Die Hacking-Aktivitäten im Zusammenhang mit Kryptowährungen haben ein neues und besorgniserregendes Niveau erreicht.
Nach einem Bericht von Cisco Talos scheint die nordkoreanische Cyberkriminelle Gruppe, die als "Famous Chollima" bekannt ist, ihre Operationen intensiviert zu haben. Offenbar konzentriert sich Famous Chollima jetzt auf Bewerber im Krypto-Sektor in Indien, wobei eine völlig neue Angriffsmethode zum Einsatz kommt.
Anstatt wie die Lazarus-Gruppe eklatante, groß angelegte Angriffe gegen Krypto-Unternehmen durchzuführen, hat Famous Chollima eine ausgeklügelte Strategie entwickelt, um Zugang zu Unternehmen in diesem Sektor zu erhalten.
"Famous Chollima, ein mit Nordkorea verbündeter Bedrohungsakteur, zielt mit dem neuen PylangGhost RAT, einer Python-Version des früheren GolangGhost RAT, auf Blockchain- und Kryptowährungsexperten (hauptsächlich in Indien) ab", said Cisco Talos.
Famous Chollima, ein mit Nordkorea verbündeter Bedrohungsakteur, zielt mit dem neuen PylangGhost RAT, einem Python-basierten Äquivalent zu seinem GolangGhost RAT, auf Kryptowährungs-/Blockchain-Profis (hauptsächlich in Indien) ab: https://t.co/fYKvY1tXdBpic.twitter.com/ojDl6Oz7Zv
- Cisco Talos Intelligence Group (@TalosSecurity) Juni 18, 2025
Während die Lazarus Group dafür bekannt ist, direkt auf in den USA ansässige Kryptounternehmen abzuzielen - und in einigen Fällen zu erpressen -, wie Kraken, verfolgt Famous Chollima einen anderen Ansatz: das Eindringen in Unternehmensnetzwerke über Bewerbungsformulare.
Im Gegensatz zu den nordkoreanischen Aktionen gegen Kraken und andere Unternehmen nutzen die Angriffe von Famous Chollima nicht die Bewerber selbst, um sich Zugang zu Unternehmenssystemen zu verschaffen.
Stattdessen werden die Opfer über gefälschte Rekrutierungsseiten angelockt, die bekannte Kryptounternehmen imitieren. Die Bewerbungen sind jedoch nicht gekennzeichnet und enthalten eine scheinbar unsinnige Frage: "Was macht diesen Technologie-Anwendungsserver so schwierig?"
Diese Angriffe sind nicht nur schlecht ausgeführt, sondern widersprechen auch dem Ruf der Lazarus Group, die für ihre Effizienz bekannt ist. Cisco Talos weist darauf hin, dass Famous Chollima relativ amateurhaft ist.
Die Kriminellen locken ihre Opfer über fiktive Rekrutierungsseiten, die sich als Technologie- oder Kryptounternehmen ausgeben. Nach dem Einreichen einer Bewerbung wird das arglose Opfer zu einem Online-Interview eingeladen. Während des vermeintlichen Vorstellungsgesprächs fordert die gefälschte Website den Befragten auf, Befehle über die Befehlszeilenschnittstelle (CLI) einzugeben. Angeblich sollen die Befehle Grafiktreiber installieren, in Wirklichkeit wird jedoch Schadsoftware heruntergeladen und ausgeführt.
Nach der Installation der PylangGhost-Malware kann Famous Chollima vollständig auf den Computer des Opfers zugreifen. Sie ist in der Lage, Anmeldeinformationen, Browser-Historie und Krypto-Wallet-Daten zu stehlen.
Darüber hinaus zielt die Malware auf über 80 beliebte Erweiterungen, darunter MetaMask, Phantom und 1Password.
Das wahre Ziel des Angriffs ist noch unklar. Es ist nicht bekannt, ob es sich bei diesen Aktionen nur um Einzeltaten handelt oder um einen ersten Schritt zu einem koordinierten Großangriff. Es ist möglich, dass Famous Chollima die Computer dieser Kandidaten infiziert, um sich dann als sie auszugeben und den Krypto-Jobmarkt effektiver zu infiltrieren.
Nach dem BITMEX-Fall, bei dem sich herausstellte, dass die Lazarus-Gruppe mindestens zwei getrennte Teams einsetzt - eines auf niedriger Ebene, um zu infiltrieren, und eines, das hochspezialisiert ist, um Daten zu stehlen - liegt es nahe, sich zu fragen, ob Famous Chollima auch eine hierarchische Weiterentwicklung der nordkoreanischen Hacker-Gemeinschaft darstellt.
Bewerber für Positionen in der Kryptowelt, insbesondere in Indien, sollten äußerst vorsichtig sein. Seien Sie vorsichtig bei unaufgeforderten Jobangeboten. Führen Sie niemals Befehle auf Ihrem System aus, wenn Sie die Quelle nicht kennen.
Es ist außerdem unerlässlich, Endgeräte zu sichern, eine Multi-Faktor-Authentifizierung (MFA) zu verwenden und Browser-Erweiterungen sorgfältig zu überwachen.
Schließlich ist es wichtig, die Authentizität von Rekrutierungsportalen zu überprüfen, bevor persönliche oder berufliche Informationen angegeben werden.
China beschuldigt Washington, im Jahr 2020 127.000 BTC von LuBian "abgezogen" zu haben. Forscher bringen den Exploit mit einer Schwachstelle in der Schlüsselgenerierung in Verbindung.
Eleven Drainer, ein neuer Phishing-as-a-Service, expandiert sein Geschäft. Trotz der Raffinesse der Angriffe bleibt menschliches Versagen die größte Schwachstelle. Die Verteidigung liegt in der Disziplin der Benutzer.
Nordkoreanische Hacker intensivieren den Krypto-Betrug: GhostCall- und GhostHire-Kampagnen nutzen KI und geben sich als Web3-Führungskräfte aus, um Malware zu verbreiten - eine Weiterentwicklung der Lazarus-Gruppe.
Laut Cisco Talos und Google setzen die nordkoreanischen Gruppen Famous Chollima und UNC5342 neue Stämme dezentraler Malware (wie EtherHiding und das Paar BeaverTail/OtterCookie) ein
Erhalten Sie die neuesten Nachrichten, lernen Sie von Experten, entdecken Sie neue Tools und lassen Sie sich inspirieren - direkt in Ihrem Posteingang.
Die Hacking-Aktivitäten im Zusammenhang mit Kryptowährungen haben ein neues und besorgniserregendes Niveau erreicht.
Nach einem Bericht von Cisco Talos scheint die nordkoreanische Cyberkriminelle Gruppe, die als "Famous Chollima" bekannt ist, ihre Operationen intensiviert zu haben. Offenbar konzentriert sich Famous Chollima jetzt auf Bewerber im Krypto-Sektor in Indien, wobei eine völlig neue Angriffsmethode zum Einsatz kommt.
Anstatt wie die Lazarus-Gruppe eklatante, groß angelegte Angriffe gegen Krypto-Unternehmen durchzuführen, hat Famous Chollima eine ausgeklügelte Strategie entwickelt, um Zugang zu Unternehmen in diesem Sektor zu erhalten.
Nach Angaben von Cisco Talos wurde "Famous Chollima" zum ersten Mal Mitte 2024 oder sogar noch früher gemeldet.
Während die Lazarus Group dafür bekannt ist, direkt auf in den USA ansässige Kryptounternehmen abzuzielen - und in einigen Fällen zu erpressen -, wie Kraken, verfolgt Famous Chollima einen anderen Ansatz: das Eindringen in Unternehmensnetzwerke über Bewerbungsformulare.
Im Gegensatz zu den nordkoreanischen Aktionen gegen Kraken und andere Unternehmen nutzen die Angriffe von Famous Chollima nicht die Bewerber selbst, um sich Zugang zu Unternehmenssystemen zu verschaffen.
Stattdessen werden die Opfer über gefälschte Rekrutierungsseiten angelockt, die bekannte Kryptounternehmen imitieren. Die Bewerbungen sind jedoch nicht gekennzeichnet und enthalten eine scheinbar unsinnige Frage: "Was macht diesen Technologie-Anwendungsserver so schwierig?"
Diese Angriffe sind nicht nur schlecht ausgeführt, sondern widersprechen auch dem Ruf der Lazarus Group, die für ihre Effizienz bekannt ist. Cisco Talos weist darauf hin, dass Famous Chollima relativ amateurhaft ist.
Die Kriminellen locken ihre Opfer über fiktive Rekrutierungsseiten, die sich als Technologie- oder Kryptounternehmen ausgeben. Nach dem Einreichen einer Bewerbung wird das arglose Opfer zu einem Online-Interview eingeladen. Während des vermeintlichen Vorstellungsgesprächs fordert die gefälschte Website den Befragten auf, Befehle über die Befehlszeilenschnittstelle (CLI) einzugeben. Angeblich sollen die Befehle Grafiktreiber installieren, in Wirklichkeit wird jedoch Schadsoftware heruntergeladen und ausgeführt.
Nach der Installation der PylangGhost-Malware kann Famous Chollima vollständig auf den Computer des Opfers zugreifen. Sie ist in der Lage, Anmeldeinformationen, Browser-Historie und Krypto-Wallet-Daten zu stehlen.
Darüber hinaus zielt die Malware auf über 80 beliebte Erweiterungen, darunter MetaMask, Phantom und 1Password.
Das wahre Ziel des Angriffs ist noch unklar. Es ist nicht bekannt, ob es sich bei diesen Aktionen nur um Einzeltaten handelt oder um einen ersten Schritt zu einem koordinierten Großangriff. Es ist möglich, dass Famous Chollima die Computer dieser Kandidaten infiziert, um sich dann als sie auszugeben und den Krypto-Jobmarkt effektiver zu infiltrieren.
Nach dem BITMEX-Fall, bei dem sich herausstellte, dass die Lazarus-Gruppe mindestens zwei getrennte Teams einsetzt - eines auf niedriger Ebene, um zu infiltrieren, und eines, das hochspezialisiert ist, um Daten zu stehlen - liegt es nahe, sich zu fragen, ob Famous Chollima auch eine hierarchische Weiterentwicklung der nordkoreanischen Hacker-Gemeinschaft darstellt.
Bewerber für Positionen in der Kryptowelt, insbesondere in Indien, sollten äußerst vorsichtig sein. Seien Sie vorsichtig bei unaufgeforderten Jobangeboten. Führen Sie niemals Befehle auf Ihrem System aus, wenn Sie die Quelle nicht kennen.
Es ist außerdem unerlässlich, Endgeräte zu sichern, eine Multi-Faktor-Authentifizierung (MFA) zu verwenden und Browser-Erweiterungen sorgfältig zu überwachen.
Schließlich ist es wichtig, die Authentizität von Rekrutierungsportalen zu überprüfen, bevor persönliche oder berufliche Informationen angegeben werden.
Weiter lesen
Krypto-Konflikt: Peking beschuldigt USA für LuBian's 127.000 BTC Bitcoin Exploit
China beschuldigt Washington, im Jahr 2020 127.000 BTC von LuBian "abgezogen" zu haben. Forscher bringen den Exploit mit einer Schwachstelle in der Schlüsselgenerierung in Verbindung.
Neuer Eleven Drainer-Angriff: Bedrohung für Krypto-Wallets
Eleven Drainer, ein neuer Phishing-as-a-Service, expandiert sein Geschäft. Trotz der Raffinesse der Angriffe bleibt menschliches Versagen die größte Schwachstelle. Die Verteidigung liegt in der Disziplin der Benutzer.
Weiterentwickelte nordkoreanische Hacker: Neue Gefahrenstufe für den Krypto-Sektor
Nordkoreanische Hacker intensivieren den Krypto-Betrug: GhostCall- und GhostHire-Kampagnen nutzen KI und geben sich als Web3-Führungskräfte aus, um Malware zu verbreiten - eine Weiterentwicklung der Lazarus-Gruppe.
Nordkorea: Die ultimative Cyber-Attacke? Ausweichende Malware und Blockchain im Fadenkreuz.
Laut Cisco Talos und Google setzen die nordkoreanischen Gruppen Famous Chollima und UNC5342 neue Stämme dezentraler Malware (wie EtherHiding und das Paar BeaverTail/OtterCookie) ein