Die wachsende Bedeutung der Kryptowährungen hat nicht nur legale Investitionen und Innovationen befeuert, sondern auch eine neue Angriffsfläche für Cyberkriminelle geschaffen. Besonders alarmierend sind Aktivitäten von staatlich unterstützten Gruppen, die vielfältige, komplexe Methoden verwenden, um sich Zugang zu Netzwerken und sensiblen Informationen zu verschaffen. Eine solcher bekannter Fall stammt von einer nordkoreanischen Hackergruppe, die im Rahmen einer aufwendigen Täuschung falsche Krypto-Firmen errichtet, um über gefälschte Jobangebote Malware zu verbreiten und Zugang zu wertvollen Daten zu gewinnen. Diese Masche zeigt einmal mehr die ausgeklügelten Techniken, die in globalen Cyber-Spionage-Operationen zum Einsatz kommen.Die Gruppe, die auch unter den Namen „Famous Chollima“ oder als Teil der bekannten Lazarus Group bekannt ist, wurde vor fast zwei Jahren erstmals von Forschungsteams wie Palo Alto Networks’ Unit 42 beobachtet.
Seitdem haben verschiedene Sicherheitsfirmen, darunter SentinelOne, Group-IB und das Cyber-Intelligence-Unternehmen Silent Push, die Aktivitäten dieser Hacker akribisch verfolgt. Im Jahr 2025 erhielt die Kampagne einen neuen Schliff: Die Angreifer gründeten drei scheinbar legitime Kryptounternehmen – BlockNovas LLC, Angeloper Agency und SoftGlide LLC – und nutzen diese als Tarnung, um potenzielle Opfer in der Kryptobranche anzulocken.Diese falschen Firmen bieten vermeintliche Jobs über etablierte Plattformen wie CryptoJobsList, CryptoTask, Freelance und Upwork an. Auf diese Weise richten sich die Angreifer gezielt an Fachkräfte, die nach Jobmöglichkeiten in der boomenden Kryptowährungsbranche suchen. Darüber hinaus sind sie über GitHub-Repositorien aktiv geworden, um gezielt Kandidaten zu identifizieren und anzusprechen.
Besonders auffällig ist dabei der moderne Einsatz von Künstlicher Intelligenz: Die Nordkoreaner erzeugen mithilfe von AI-Tools realistisch wirkende Profile und Bilder gefälschter Mitarbeiter. Um ihre Spuren zu verwischen, verwenden sie dabei VPN-Dienste wie Astrill und setzen auf residential Proxies, sodass ihre digitale Infrastruktur schwerer nachzuvollziehen ist.BlockNovas gilt als der aktivste Mittelmann in diesem Täuschungsnetzwerk und ist ein Beispiel dafür, wie clever die Hacker vorgehen. Die Website des Unternehmens wurde unter der Adresse in Warrenville, South Carolina, registriert – scheinbar ein harmloser Wohnort, der jedoch nur als Tarnung dient. Die angeblichen Ansprechpartner Mehmet Demir und Ramon Mckenzie sind nachweislich erfundene Identitäten.
Selbst auf sozialen Netzwerken wie LinkedIn, Facebook und X (ehemals Twitter) sind gefälschte Unternehmensprofile angelegt worden, die die Fake-Jobangebote bewerben. Selbst die Fotos der „Mitarbeiter“ stammen oft von realen Personen, deren Gesichter unerlaubt als Identitätsmasken verwendet werden, während die Namen geändert wurden.Das Bewerbungsverfahren bei diesen fingierten Unternehmen verläuft äußerst überzeugend. Interessenten müssen eine Reihe von Fragen beantworten, die typisch für Bewerbungen in der Branche sind – darunter Fragen zur Verfügbarkeit, zur gewünschten Arbeitsart, zur Englischkenntnis, zu Erfahrungen und sogar zu Social-Media-Profilen. Außerdem sollen Kandidaten ein Vorstellungsvideo anfertigen.
Die eigentliche Falle offenbart sich, wenn Bewerber auf interaktive Elemente klicken, die angeblich nur technische Anforderungen prüfen sollen, in Wahrheit aber Schadsoftware auf dem Gerät ausführen. Eine Meldung über blockierten Zugriff auf Kamera oder Mikrofon dient als Lockmittel für sogenannte „ClickFix“-Befehle, die auf Windows-, Mac- oder Linux-Systemen Zugriff ermöglichen.Die eingesetzte Malware umfasst drei Haupttypen: BeaverTail, InvisibleFerret und OtterCookie. BeaverTail ist in JavaScript geschrieben, dient zum Diebstahl von Informationen und kann als Loader für weitere Schadsoftware agieren. InvisibleFerret agiert als Spyware und Backdoor, die Angreifern dauerhaften Zugang ermöglicht.
OtterCookie richtet sich explizit gegen Krypto-Wallets und dient dazu, Kryptowährungen zu entwenden. Zusammen bilden diese Tools ein mächtiges Arsenal, um sensible Daten abzugreifen und finanzielle Verluste bei den Opfern auszulösen.Nordkoreanische staatliche Gruppen sind bereits dafür bekannt, IT-Arbeiterscams durchzuführen, bei denen entweder Bewerber durch fingierte Jobangebote hereingelegt oder Agenten positioniert werden, die in realen Firmen Jobs annehmen, um vertrauliche Informationen zu stehlen. Das so erbeutete Geld wird dann meist zur Umgehung internationaler Sanktionen genutzt, um militärische Programme des Regimes zu finanzieren. Die skizzierten Aktivitäten sind somit Teil eines globalen Machtspiels, bei dem Cyberangriffe zu einem bedeutenden Mittel der Einflussnahme und Einnahmequelle geworden sind.
Für potenzielle Jobbewerber in der Kryptowährungsbranche und generell im IT-Sektor bedeutet dies eine Warnung vor allzu attraktiven Online-Offerten. Eine sorgfältige Prüfung von Unternehmen, Hintergrundrecherche und das kritische Hinterfragen von Online-Profilen können helfen, solchen Betrugsversuchen zu entgehen. Unternehmen und Plattformen, die Jobangebote veröffentlichen, sind ebenfalls gefordert, ihre Sicherheitsmechanismen zu verschärfen, um sich vor Missbrauch zu schützen.Die Contagious Interview-Kampagne zeigt exemplarisch, wie Cyberkriminelle moderne Technologien wie Künstliche Intelligenz, Social Media und legale Plattformen kombinieren, um Menschen gezielt zu täuschen und zu schädigen. Die Rolle von Sicherheitsforschern und der internationalen Gemeinschaft ist entscheidend, um derart ausgeklügelten Täuschungen entgegenzuwirken, Angriffe frühzeitig zu erkennen und die betroffenen Systeme zu schützen.
Die erwähnte Kampagne bleibt ein mahnendes Beispiel dafür, wie tiefgreifend und komplex Cyberbedrohungen 2025 bereits geworden sind und wie wichtig kontinuierliche Wachsamkeit und Innovation im Bereich Cybersecurity sind.
