Google warnt vor KI-gestützter nordkoreanischer Malware-Kampagne, die Kryptowährungen und DeFi ins Visier nimmt

Kurz gefasst

• Nordkoreanische Akteure greifen die Krypto-Branche mit Phishing-Angriffen unter Einsatz von KI-Deepfakes und gefälschten Zoom-Meetings an, warnte Google.
• Im Jahr 2025 wurden von DPRK-Hackern mehr als 2 Milliarden US-Dollar an Kryptowährungen gestohlen.
• Experten warnen, dass vertrauenswürdige digitale Identitäten zum schwächsten Glied werden.

Das Sicherheitsteam von Google bei Mandiant hat gewarnt, dass nordkoreanische Hacker KI-generierte Deepfakes in gefälschte Video-Meetings integrieren, um zunehmend raffinierte Angriffe gegen Krypto-Unternehmen durchzuführen, so ein am Montag veröffentlichter Bericht. Mandiant berichtete, dass es kürzlich eine Einbruchsstelle bei einem Fintech-Unternehmen untersuchte, die mit UNC1069, auch „CryptoCore“ genannt, in Verbindung gebracht wird – einer Bedrohungsakteurgruppe, die mit hoher Zuverlässigkeit Nordkorea zugeordnet wird. Der Angriff nutzte ein kompromittiertes Telegram-Konto, ein gefälschtes Zoom-Meeting und eine sogenannte ClickFix-Technik, um das Opfer dazu zu verleiten, schädliche Befehle auszuführen. Die Ermittler fanden auch Hinweise darauf, dass KI-generierte Videos verwendet wurden, um das Ziel während des Fake-Meetings zu täuschen.

Nordkoreanischer Akteur UNC1069 greift den Krypto-Sektor mit KI-gestütztem Social Engineering, Deepfakes und sieben neuen Malware-Familien an.

Erfahren Sie mehr über ihre TTPs und Tools sowie IOCs, um die Aktivitäten zu erkennen und zu verfolgen, die in unserem Beitrag beschrieben werden 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (Teil von Google Cloud) (@Mandiant) 9. Februar 2026

„Mandiant hat beobachtet, dass UNC1069 diese Techniken nutzt, um sowohl Unternehmen als auch Einzelpersonen in der Kryptowährungsbranche anzugreifen, darunter Softwarefirmen und deren Entwickler sowie Risikokapitalfirmen und deren Mitarbeiter oder Führungskräfte“, heißt es in dem Bericht. Nordkoreas Krypto-Diebstahl-Kampagne Die Warnung kommt, während die Krypto-Diebstähle Nordkoreas weiter an Umfang zunehmen. Mitte Dezember berichtete die Blockchain-Analysefirma Chainalysis, dass nordkoreanische Hacker im Jahr 2025 Kryptowährungen im Wert von 2,02 Milliarden US-Dollar gestohlen haben – ein Anstieg von 51 % im Vergleich zum Vorjahr. Die insgesamt von mit Nordkorea verbundenen Akteuren gestohlene Summe liegt nun bei etwa 6,75 Milliarden US-Dollar, obwohl die Anzahl der Angriffe zurückgegangen ist. Die Ergebnisse verdeutlichen einen breiteren Wandel in der Vorgehensweise staatlich vernetzter Cyberkrimineller. Anstatt auf Massen-Phishing-Kampagnen zu setzen, konzentrieren sich Gruppen wie CryptoCore auf hochgradig maßgeschneiderte Angriffe, die das Vertrauen in routinemäßige digitale Interaktionen ausnutzen, wie Kalendereinladungen und Videoanrufe. Auf diese Weise erzielt Nordkorea größere Diebstähle durch weniger, aber gezieltere Vorfälle. Laut Mandiant begann der Angriff, als das Opfer auf Telegram von einem scheinbar bekannten Krypto-Manager kontaktiert wurde, dessen Konto bereits kompromittiert war. Nach dem Aufbau eines Vertrauensverhältnisses schickte der Angreifer einen Calendly-Link für ein 30-minütiges Treffen, das das Opfer zu einem gefälschten Zoom-Call auf der Infrastruktur der Gruppe leitete. Während des Gesprächs berichtete das Opfer, eine Deepfake-Video eines bekannten Krypto-CEOs zu sehen. Nachdem das Meeting begonnen hatte, behaupteten die Angreifer, es gebe Audio-Probleme, und instruierte das Opfer, „Troubleshooting“-Befehle auszuführen, eine ClickFix-Technik, die letztlich die Malware-Infektion auslöste. Spätere forensische Analysen identifizierten sieben verschiedene Malware-Familien auf dem System des Opfers, die offenbar dazu dienten, Anmeldedaten, Browserdaten und Sitzungstoken zu stehlen, um finanziellen Gewinn zu erzielen und zukünftige Identitätsnachahmungen zu ermöglichen.

Deepfake-Identitätsnachahmung Fraser Edwards, Mitbegründer und CEO des dezentralen Identitätsunternehmens cheqd, sagte, der Angriff spiegle ein Muster wider, das er wiederholt bei Personen beobachtet, deren Arbeit auf Remote-Meetings und schnelle Koordination angewiesen ist. „Die Wirksamkeit dieses Ansatzes liegt darin, dass kaum etwas ungewöhnlich erscheint“, sagte Edwards. „Der Absender ist vertraut. Das Meeting-Format ist routinemäßig. Es gibt keinen Malware-Anhang oder offensichtlichen Exploit. Das Vertrauen wird ausgenutzt, bevor eine technische Verteidigung eingreifen kann.“ Edwards erklärte, dass Deepfake-Videos typischerweise an Eskalationspunkten eingesetzt werden, etwa bei Live-Anrufen, bei denen ein vertrautes Gesicht Zweifel ausräumen kann, die durch unerwartete Anfragen oder technische Probleme entstehen. „Zu sehen, was wie eine echte Person vor der Kamera aussieht, reicht oft aus, um Zweifel zu überwinden, die durch eine unerwartete Anfrage oder technische Schwierigkeiten entstanden sind. Das Ziel ist nicht eine langanhaltende Interaktion, sondern genug Realismus, um das Opfer zum nächsten Schritt zu bewegen“, sagte er. Er fügte hinzu, dass KI inzwischen auch außerhalb von Live-Calls zur Unterstützung der Identitätsnachahmung eingesetzt wird. „Sie wird genutzt, um Nachrichten zu entwerfen, den Tonfall zu korrigieren und die übliche Kommunikationsweise einer Person mit Kollegen oder Freunden zu spiegeln. Das macht routinemäßige Nachrichten schwerer zu hinterfragen und verringert die Chance, dass der Empfänger lange genug zögert, um die Interaktion zu verifizieren“, erklärte er. Edwards warnte, dass das Risiko mit der Einführung von KI-Agenten in den Alltag und die Entscheidungsfindung steigen werde. „Agenten können Nachrichten senden, Anrufe planen und im Namen der Nutzer handeln – alles in Maschinengeschwindigkeit. Wenn diese Systeme missbraucht oder kompromittiert werden, können Deepfake-Audio oder -Video automatisch eingesetzt werden, wodurch die Nachahmung von Menschen von manueller Arbeit zu einem skalierbaren Prozess wird“, sagte er. Es sei „unrealistisch“ zu erwarten, dass die meisten Nutzer wissen, wie man einen Deepfake erkennt, so Edwards, und fügte hinzu: „Die Lösung besteht nicht darin, die Nutzer zu bitten, aufmerksamer zu sein, sondern Systeme zu entwickeln, die sie standardmäßig schützen. Das bedeutet, die Echtheitssignale und Verifikationsmethoden zu verbessern, damit Nutzer schnell erkennen können, ob Inhalte echt, synthetisch oder ungeprüft sind – ohne auf Instinkt, Vertrautheit oder manuelle Überprüfung angewiesen zu sein.“