Im digitalen Zeitalter gelten Kryptowährungen als einer der vielversprechendsten Sektoren, die nicht nur Investoren sondern auch Hacker weltweit anziehen. Eine aktuelle Enthüllung zeigt, wie nordkoreanische Hackergruppen mithilfe hochentwickelter Täuschungsmanöver gezielt den Krypto-Markt angreifen. Im Mittelpunkt stehen hierbei gefälschte Firmen, die den Anschein legitimer Unternehmen erwecken, und manipulierte Jobinterviews, die als Täuschungswerkzeuge dienen, um schädliche Software zu verbreiten und Zugang zu sensiblen Daten zu erlangen. Die Sicherheitsforscher der Firma Silent Push deckten eine komplexe Kampagne einer nordkoreanischen Advanced Persistent Threat (APT) Gruppe mit dem Namen Contagious Interview auf. Diese Gruppierung ist ein Unterzweig der berüchtigten Lazarus Group, die seit Jahren für gut koordinierte Cyberangriffe bekannt ist.
Ihr neuester Angriff richtet sich gezielt gegen den US-amerikanischen Kryptowährungssektor, indem sie scheinbar seriöse Firmen und Stellenanzeigen kreieren, um das Vertrauen potentieller Opfer zu gewinnen. Im Zentrum der Kampagne stehen drei Frontunternehmen, die in den USA angeblich im Bereich Kryptowährungsberatung tätig sind. Die Namen BlockNovas LLC mit Sitz in New Mexico, Angeloper Agency sowie SoftGlide LLC in New York dienten als Deckmantel für die Angreifer. Angeloper Agency ist zudem nicht einmal offiziell in den USA registriert, was die illegale Natur dieser Organisationsstruktur zusätzlich unterstreicht. Die Frontfirmen nutzten gefälschte Adressen und Identitäten, um ein möglichst glaubwürdiges Bild zu erzeugen und die Wachsamkeit potenzieller Opfer zu senken.
Zwar erscheinen solche Scheinfirmen zunächst lediglich als harmloser Fake, doch sie spielten eine zentrale Rolle bei der Verteilung von Malware. Über ausgeschriebene Jobangebote, speziell in Bereichen rund um Kryptowährungen, wurden interessierte Bewerber angelockt. Die Betrüger setzten auf eine ausgeklügelte Social-Engineering-Taktik, indem sie vermeintliche Jobinterviews simulierten, die letztlich dazu dienten, schädliche Dateien in Form von Bewerbungsunterlagen oder Onboarding-Dokumenten unbemerkt zu verbreiten. Die eingesetzten Malware-Varianten sind alles andere als Standard. Die Cyberforscher identifizierten drei unterschiedliche Schadprogramme, die bereits zuvor mit nordkoreanischen Cyber-Einheiten in Verbindung gebracht wurden.
BeaverTail, InvisibleFerret und OtterCookie sind spezielle Tools, die es ermöglichen, Daten auszuspähen, Backdoors in infizierten Systemen einzurichten und den Angreifern langfristigen Zugriff zu sichern. Neben dem unmittelbaren Diebstahl von sensiblen Informationen können dadurch auch weitere Attacken wie Spyware-Installationen oder sogar Ransomware-Einsätze eingeleitet werden. Das Ausmaß und die Professionalität dieser Cyberattacke haben auch die amerikanischen Behörden auf den Plan gerufen. Am 23. April 2025 wurde die Domain der aktivsten Frontfirma BlockNovas von FBI beschlagnahmt und vom Netz genommen.
Eine offizielle Mitteilung bestätigt, dass diese Maßnahme Teil einer Strafverfolgungsaktion gegen nordkoreanische Cyberkriminelle ist, die mittels gefälschter Jobangebote Personen täuschen und Malware verbreiten. Um ihre wahre Identität zu verschleiern und nicht von Sicherheitsmechanismen aufgespürt zu werden, nutzten die Angreifer technische Hilfsmittel wie VPN-Dienste, beispielsweise Astrill VPN, sowie sogenannte Residential Proxies. Diese Technologien maskieren die echte Herkunft der Verbindung und erschweren damit die Zuordnung der Angriffe. Darüber hinaus setzte die Gruppe auf moderne künstliche Intelligenz, konkret auf KI-gestützte Werkzeuge wie Remaker AI, um überzeugende Profile gefälschter Mitarbeiter anzulegen. Dies verlieh den erfundenen Firmen eine zusätzliche Glaubwürdigkeit und half dabei, bei potenziellen Opfern Vertrauen aufzubauen.
Neben den gefälschten Unternehmenswebseiten fanden die Hacker auch Plattformen wie GitHub, diverse Jobportale und Freelancer-Websites als Verbreitungsweg für ihre Malware. Durch diese breitgefächerte Infrastruktur konnten sie ihre Reichweite maximieren und eine Vielzahl von Krypto-Fachkräften in aller Welt ansprechen. Die Enthüllungen dieser Kampagne zeichnen ein Bild davon, wie stark sich nordkoreanische Cyberakteure an die jeweilige Zielgruppe anpassen und innovative Methoden zur Täuschung verwenden. Vor allem im Kontext der Kryptowährungsbranche, die stark von digitaler Vernetzung und Remote-Arbeit geprägt ist, eröffnen sich für Angreifer zahlreiche Angriffspunkte. Für Unternehmen und Einzelpersonen im Kryptobereich ergeben sich daraus wichtige Lehren.
Die Gefahren einer naiven Annahme von Angeboten im Internet sind real und können signifikanten finanziellen und datenschutzbezogenen Schaden nach sich ziehen. Es ist essenziell, dass potenzielle Arbeitgeber und Bewerber strenge Verifikationsmechanismen einführen. Dies umfasst neben klassischen Hintergrundprüfungen auch das Durchführen echter Video- oder Präsenzinterviews, um die Echtheit von Bewerbern und Unternehmen sicherzustellen. Darüber hinaus sollte das Bewusstsein für solche Social-Engineering-Attacken in der gesamten Kryptobranche stärker geschärft werden. Unternehmen sind gut beraten, ihre Mitarbeiter regelmäßig über potenzielle Risiken und typische Taktiken solcher Betrugsversuche zu informieren.
Die Einbindung von Cybersecurity-Schulungen in den Alltag kann helfen, auch ausgeklügelte Kampagnen wie die von Contagious Interview frühzeitig zu erkennen und abzuwehren. Die aktuelle Lage zeigt, dass Nordkorea weiterhin eine der aktivsten Nationen im Bereich Cyberangriffe weltweit ist. Mit Fokus auf die Dezentralisierung des Finanzwesens und dessen Natur als digitales Ökosystem bieten Kryptowährungen für solche Akteure ein ideales Angriffsziel. Die Methoden werden zunehmend komplexer und verschleiernder, weshalb die Kryptobranche wachsam bleiben muss. Abschließend lässt sich sagen, dass die Kombination aus Technologie, Täuschung und menschlicher Leichtgläubigkeit bei diesen jüngsten Vorfällen eine gefährliche Mischung ergibt.
Die Erkenntnisse aus der Silent Push Analyse sind daher ein Weckruf für die Sicherheit im Kryptosektor. Nur durch proaktives Handeln, erhöhte Sicherheitsstandards und umfassende Aufklärung können die wachsenden Bedrohungen durch staatlich gestützte Hackergruppen effektiv entgegengewirkt werden. Die Sicherung von Krypto-Assets und kritischen Daten ist nicht nur Aufgabe der Technik, sondern auch der Nutzer und Unternehmen, die sich diesem neuen digitalen Zeitalter anpassen müssen.
