Nordkoreanische Hacker setzen auf schnelle Infrastrukturwechsel

LONDON (IT BOLTWISE) – Nordkoreanische Hacker, die mit der Lazarus-Gruppe in Verbindung stehen, haben ihre Taktik geändert. Anstatt in langfristigen Schutz zu investieren, ersetzen sie entdeckte Infrastruktur schnell durch neue Assets. Diese Strategie ermöglicht es ihnen, weiterhin gezielt Kryptowährungsprofis anzugreifen, indem sie gefälschte Bewerbungsprozesse nutzen, um Malware zu verbreiten.

Nordkoreanische Hacker, die mit der berüchtigten Lazarus-Gruppe in Verbindung stehen, haben ihre Strategien angepasst, um ihre Cyberoperationen aufrechtzuerhalten. Anstatt in umfassenden, langfristigen Schutz zu investieren, ersetzen sie entdeckte und abgeschaltete Infrastruktur schnell durch neue Assets. Diese pragmatische Herangehensweise ermöglicht es ihnen, ihre Aktivitäten ohne größere Unterbrechungen fortzusetzen.

Die Hackergruppe, die mit der sogenannten „Contagious Interview“-Kampagne in Verbindung gebracht wird, zielt weiterhin auf Fachleute im Kryptowährungssektor ab. Sie nutzen dabei die ClickFix-Technik, eine Form des Social Engineering, bei der gefälschte Einstellungsbewertungen Bewerber dazu verleiten, Malware herunterzuladen, die als Lösung für erfundene technische Probleme getarnt ist.

Forscher haben beobachtet, dass die Bedrohungsakteure aktiv Cyber Threat Intelligence (CTI)-Plattformen überwachen, um Spuren ihrer Infrastruktur zu entdecken. Innerhalb von nur 24 Stunden nach der Veröffentlichung eines Validin-Blogs mit Indikatoren, die mit Lazarus in Verbindung stehen, registrierten die Hacker mehrere Community-Konten mit Gmail-Adressen und später mit benutzerdefinierten Domains wie versusx[.]us und quiz-nest[.]com.

Die Untersuchung ergab, dass die Hacker Validin, VirusTotal und Maltrail IOC-Repositories nutzten, um festzustellen, welche ihrer Server, Domains und Lock-Websites markiert worden waren. Ihre Aktivitätsmuster deuteten auf eine Echtzeit-Koordination über mehrere Personas hin, wahrscheinlich unter Verwendung von Slack-Kanälen, wobei der Slack-Bot-Verkehr die gemeinsame Nutzung von CTI-Links zwischen Teammitgliedern bestätigte.

Trotz der Entdeckung von Artefakten, die ihre Operationen leicht gefährden könnten, nahmen die Akteure nur geringfügige taktische Anpassungen vor, wie das Umbenennen einer Lock-Website von SkillMaster in SkillUp. Anstatt die exponierte Infrastruktur zu überarbeiten, setzten sie schnell neue Domains und Hosting-Server ein, wobei sie Skalierbarkeit und ununterbrochenes Zielgruppen-Targeting bevorzugten.

Die Validin-Protokolle zeigten, wie die Hacker neue Domains vor dem Kauf erkundeten, darunter hiringassessment[.]net und screenquestion[.]org, um schwarze Listen zu vermeiden. Nach dem Erwerb wurden diese Assets schnell als gefälschte Jobplattformen oder Malware-Server eingesetzt.

Ihre ContagiousDrop-Anwendungen, die typischerweise in Node.js implementiert sind, lieferten betriebssystemspezifische Payloads (Windows, macOS, Linux) und protokollierten jede Interaktion mit den Opfern. E-Mail-Benachrichtigungen, die über Konten wie designedcuratedamy58[@]gmail.com gesendet wurden, alarmierten die Betreiber, sobald Ziele mit den Bewertungen begannen oder bösartige Curl-Befehle ausführten.

Schlechte operationale Sicherheit (OPSEC) untergrub die Hacker wiederholt. Fehlkonfigurierte Server ließen Verzeichnislisten, Protokolle und interne Benutzernamen durchsickern, was den Ermittlern einen beispiellosen Einblick in die Arbeitsabläufe der Angreifer verschaffte. Über 230 Opfer wurden zwischen Januar und März 2025 bestätigt, wobei sich die Ziele auf die globale Kryptowährungs- und Blockchain-Industrie konzentrierten, insbesondere auf investitionsbezogene Rollen.

SentinelLABS schätzt, dass die Abhängigkeit der Angreifer von einem schnellen Austausch von Assets teilweise durch die Einnahmequoten Pjöngjangs getrieben wird, die Cyber-Einheiten dazu zwingen, Einnahmen über Tarnung zu priorisieren. Anstatt eine einheitliche, langfristige Verteidigung für ihre Infrastruktur zu implementieren, eilen die Operativen, um das Engagement der Opfer mit neu aufgestellten Assets nach Abschaltungen aufrechtzuerhalten.

Experten zufolge hängt die Verteidigung von aggressiven Abschaltungen durch Dienstanbieter und erhöhter Wachsamkeit unter Arbeitssuchenden im Kryptosektor ab. Diese Kombination, die Infrastruktur abzuschneiden und potenzielle Ziele zu sensibilisieren, bietet die beste Chance, Nordkoreas kontinuierliche Phishing- und Malware-Pipeline zu stören.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,90 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

75,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!