BlueNoroff greift Krypto-Industrie an

Kaspersky Labs GmbH Kaspersky Labs GmbH   |
  • Kryptographie, Künstliche Intelligenz, Malware
  • Experte
BlueNoroff greift Krypto-Industrie an

BlueNoroff greift Krypto-Industrie an.

Das Global Research and Analysis Team (GReAT) von Kaspersky hat die jüngsten Aktivitäten der APT-Gruppe BlueNoroff vorgestellt. Mit den Kampagnen GhostCall und GhostHire greift die Lazarus-Untergruppe Führungskräfte und Entwickler der Krypto-Industrie an; die Kampagnen betreffen sowohl Windows als auch macOS. Die Kampagnen laufen seit mindestens April 2025 und Betroffene finden sich unter anderem in Indien, der Türkei, Australien sowie weiteren Ländern in Europa und Asien.

Zusammenfassung (TL; DR):

  • APT-Gruppe BlueNoroff: Angriffe sowohl gegen Windows als auch macOS
  • Kampagnen GhostCall und GhostHire greifen über gefälschte Video-Calls und fingierte Recruiting-Prozesse an
  • Hilfe: Geschäftsanfragen oder Investitionsangebote stets kritisch bewerten

Bei BlueNoroff handelt es sich um eine Untergruppe der berüchtigten Lazarus-Gruppe. Derzeit setzt sie ihre finanziell motivierte „SnatchCrypto“-Kampagne fort, die weltweit auf Unternehmen aus der Krypto-Industrie abzielt. In den Kampagnen GhostCall und GhostHire setzen die Angreifer neue Infiltrationstechniken und maßgeschneiderte Malware ein, um Blockchain-Entwickler und Führungskräfte zu kompromittieren. Die Angriffe zielen sowohl auf macOS- als auch auf Windows-Systeme ab und werden über eine einheitliche Command-and-Control-Infrastruktur gesteuert.

GhostCall: Social Engineering gegen macOS-Nutzer

GhostCall richtet sich gegen macOS-Geräte und beginnt mit einem ausgefeilten und personalisierten Social-Engineering-Angriff: Die Angreifer kontaktieren Ziele über Telegram, geben sich als Venture-Capital-Investoren aus und nutzen teils kompromittierte Accounts realer Gründer und Start-up-Akteure, um Investitionen oder Partnerschaften anzupreisen. Betroffene werden auf Phishing-Seiten gelockt, die Zoom oder Microsoft Teams imitieren, um dort an Meetings teilzunehmen. Während des fingierten Meetings werden sie aufgefordert, den Client zu „aktualisieren“, um ein angebliches Audio-Problem zu beheben – tatsächlich wird dabei ein schädliches Skript nachgeladen und eine Malware-Infektion ausgelöst.

Die Akteure setzten sieben mehrstufige Angriffsketten ein – vier davon bis dato unbekannt –, um eine Reihe neuer, maßgeschneiderter Payloads zu verbreiten, darunter Stealer zum Diebstahl von Kryptowährungen, Browser-Credentials, Secrets und Telegram-Konten.

„Diese Kampagne beruht auf bewusst geplanter Täuschung. Während inszenierter Meetings spielten die Angreifer Videos früherer Betroffener ab, um die Interaktion wie ein echtes Meeting wirken zu lassen und neue Ziele zu manipulieren“, erklärt Sojun Ryu, Security Researcher bei Kaspersky GReAT. „Die dabei gesammelten Daten werden nicht nur gegen das ursprüngliche Ziel eingesetzt, sondern auch genutzt, um nachgelagerte und Supply-Chain-Angriffe über bestehende Vertrauensbeziehungen durchzuführen.“

GhostHire: Entwickler über vermeintliche Recruiting-Tasks ins Visier genommen

Bei GhostHire agiert die APT-Gruppe als vermeintlicher Recruiter und nimmt Blockchain-Entwickler ins Visier. Betroffene werden dazu gebracht, ein GitHub-Repository (oder ein ZIP-Archiv) als angebliche „Skill-Aufgabe“ herunterzuladen und auszuführen, das jedoch Malware enthält. GhostHire teilt seine Infrastruktur und Tools mit GhostCall, verzichtet jedoch auf Video-Calls und setzt stattdessen auf gefälschte Recruiting-Prozesse. Nach der Erstansprache werden Betroffene in einen Telegram-Bot aufgenommen, der entweder eine ZIP-Datei oder einen GitHub-Link mitsamt kurzer Frist für eine vermeintliche Aufgabe schickt; nach Ausführung installiert sich die Malware betriebssystemspezifisch auf dem Zielrechner.

Der Einsatz generativer KI ermöglicht BlueNoroff, die Malware-Entwicklung zu beschleunigen und Angriffstechniken zu verfeinern. Die Akteure nutzen neue Programmiersprachen und zusätzliche Funktionen, was die Erkennung und Analyse erschwert und zugleich Steuerung und Skalierung erleichtert.

„Seit seinen früheren Kampagnen hat sich die Zielstrategie der Gruppe über den einfachen Diebstahl von Kryptowährungen und Browser-Anmeldedaten hinaus weiterentwickelt“, kommentiert Omar Amin, Senior Security Researcher bei Kaspersky GReAT. „Der Einsatz generativer KI hat diesen Prozess erheblich beschleunigt und ermöglicht eine einfachere Malware-Entwicklung bei geringeren Kosten. Dieser KI-gesteuerte Ansatz hilft, Lücken in den verfügbaren Informationen zu schließen, und ermöglicht eine zielgerichtete Ausrichtung. Durch die Kombination kompromittierter Daten mit den Analysefähigkeiten der KI hat sich der Umfang der Angriffe erweitert. Wir hoffen, dass unsere Forschung dazu beitragen wird, weiteren Schaden zu verhindern.“

Empfehlungen zum Schutz vor GhostCall und GhostHire:

  • Geschäftsanfragen oder Investitionsangebote stets kritisch bewerten – insbesondere, wenn diese über Plattformen wie Telegram oder LinkedIn kommen. Sensible Kommunikation sollte nur über geprüfte und sichere Unternehmenskanäle erfolgen.
  • Auch Accounts bekannter Kontakte können kompromittiert sein. Identitäten daher über alternative Wege bestätigen, nur offizielle Domains verwenden und keine unbestätigten Skripte oder Befehle ausführen.
  • Robuste Sicherheitslösungen einsetzen, die modernen Endpunktschutz mit EDR- und XDR-Funktionen kombinieren und Echtzeit-Schutz, Transparenz und schnelle Reaktion auf Bedrohungen bieten.
Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung
Skip to content