Nordkoreanische Hacker nutzen täuschend echte Video-Fälschungen, um Top-Manager in der Krypto-Branche zu kompromittieren. Die Angriffswelle richtet sich gegen mindestens 100 Personen in über 20 Ländern – und die Täter werden immer raffinierter.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis-Ratgeber zu aktuellen Cyber-Bedrohungen herunterladen
Deepfake-Fabrik mit Selbstverstärkung
Was Sicherheitsforscher derzeit alarmiert, ist die Systematik hinter den Angriffen. Die Gruppe BlueNoroff, ein finanziell motivierter Ableger der berüchtigten Lazarus Group, hat eine regelrechte Deepfake-Produktionsstraße aufgebaut. Das Prinzip: Die Angreifer stehlen während kompromittierter Videokonferenzen das Webcam-Material ihrer Opfer. Dieses Material nutzen sie dann, um weitere Personen im Netzwerk des ursprünglichen Opfers zu täuschen.
Die Forscher von Arctic Wolf beschreiben eine regelrechte Bibliothek mit gestohlenen Videos, KI-generierten Standbildern und Deepfake-Composites, die echte menschliche Bewegungen mit synthetischen Gesichtern kombinieren. Rund 80 Prozent der identifizierten Ziele arbeiten im Krypto-, Blockchain- oder angrenzenden Finanzsektor. Besonders brisant: Fast die Hälfte der anvisierten Personen sind CEOs oder Gründer ihrer Unternehmen.
Die geografische Verteilung zeigt klare Schwerpunkte: Die USA stellen mit 41 Prozent das größte Kontingent, gefolgt von Singapur (11 Prozent) und Großbritannien (7 Prozent). Für deutsche Unternehmen bedeutet dies: Wer international im Krypto-Sektor aktiv ist, sollte die Warnungen ernst nehmen.
Die Angriffskette: Vom Kalender-Eintrag zur Systemübernahme
Der Angriff beginnt mit akribischer Vorarbeit. Die Täter kontaktieren ihre Opfer über kompromittierte Telegram-Konten oder professionelle Netzwerke wie LinkedIn. Sie geben sich als seriöse Geschäftspartner aus – etwa als Leiter der Rechtsabteilung einer internationalen Beratungsfirma oder als Venture-Capital-Investor. Mit Tools wie Calendly vereinbaren sie Meetings, manchmal Monate im Voraus, um den vollen Terminkalender eines Top-Managers zu simulieren.
Stimmt das Opfer einem Meeting zu, erhält es eine Kalendereinladung mit einem vermeintlichen Google Meet-Link. Doch die Angreifer manipulieren die Einladung im Hintergrund und ersetzen den Link durch eine Tippfehler-Domain, die legitimen Zoom- oder Microsoft-Teams-Adressen täuschend ähnlich sieht. Seit Ende 2025 hat die Gruppe über 80 solcher Fake-Domains registriert.
Im Meeting selbst sehen die Opfer ein Video eines vermeintlichen Geschäftskontakts. Kurz darauf erscheint eine technische Fehlermeldung: Das SDK sei veraltet oder es gebe ein Audioproblem. Ein Button mit der Aufschrift „Update Now“ soll Abhilfe schaffen – und führt zur sogenannten ClickFix-Technik.
Das Opfer wird aufgefordert, einen Terminal-Befehl zu kopieren und einzufügen. Was wie eine harmlose Fehlerbehebung aussieht, ist in Wirklichkeit ein bösartiges PowerShell-Skript. Der gesamte Kompromittierungsprozess – vom ersten Klick bis zur vollständigen Systeminfektion – kann in weniger als fünf Minuten abgeschlossen sein.
CEO-Fraud und psychologische Manipulationstaktiken sind oft der Schlüssel für erfolgreiche Hacker-Angriffe auf deutsche Unternehmen. Erfahren Sie in diesem kostenlosen Report, wie Sie sich in 4 Schritten effektiv gegen moderne Phishing-Methoden zur Wehr setzen. Kostenloses Anti-Phishing-Paket jetzt sichern
Unsichtbare Schadsoftware und langfristiger Zugriff
Die eingesetzte Malware arbeitet speicherresident und dateilos – ein klassischer Trick, um traditionelle Antivirensoftware zu umgehen. In einem dokumentierten Fall verschaffte sich BlueNoroff Zugang zu einem nordamerikanischen Web3-Unternehmen und blieb dort 66 Tage lang unentdeckt.
Das Hauptziel der Angreifer: Browser-Zugangsdaten, Sitzungstoken und Krypto-Wallet-Erweiterungen stehlen. Die Malware kann zudem hochauflösende Screenshots des Desktops anfertigen und diese über Telegram-Bot-APIs oder HTTP-Anfragen abfließen. So überwachen die Täter ihre Opfer in Echtzeit und warten auf den perfekten Moment, um betrügerische Transaktionen zu autorisieren.
Die Sicherheitsforscher von Huntress beobachten, dass BlueNoroffs Werkzeuge in den letzten sechs bis acht Monaten deutlich komplexer geworden sind. Die Gruppe setzt auf modulare Malware und plattformübergreifende Bedrohungen, die sowohl Windows- als auch macOS-Systeme angreifen. Die Verwendung mehrerer Programmiersprachen wie Go, Rust und AppleScript erschwert die Erkennung und Analyse durch Sicherheitsteams erheblich.
BlueNoroffs wachsender Aktionsradius
Die aktuellen Erkenntnisse reihen sich ein in eine Serie von Angriffen der Gruppe. Erst Ende März 2026 wurde eine Supply-Chain-Attacke auf die weit verbreitete JavaScript-Bibliothek Axios entdeckt. Die Sicherheitsfirma DCSO berichtete von Überschneidungen in der Infrastruktur, die auf BlueNoroff als Verantwortlichen hindeuten.
Historisch gesehen agiert BlueNoroff als finanzieller Cybercrime-Arm des nordkoreanischen Militärgeheimdienstes Reconnaissance General Bureau. Die Gruppe wurde international bekannt durch den versuchten Diebstahl von fast einer Milliarde US-Dollar von der Bangladesh Bank im Jahr 2016. Jüngere Erfolge umfassen den 1,5 Milliarden US-Dollar schweren Raubzug bei der in Dubai ansässigen Börse Bybit im Februar 2025.
Frühere Kampagnen wie GhostCall und GhostHire (von Kaspersky-Forschern dokumentiert) zeigten bereits eine Tendenz zu hochgradig maßgeschneiderten Täuschungen. Während GhostHire auf gefälschte Stellenangebote und bösartige Programmieraufgaben für Entwickler setzte, zielen die aktuellen Deepfake-Operationen direkt auf die Führungsebene – dort, wo die Entscheidungsgewalt über Unternehmensgelder liegt.
Neue Herausforderungen für die Cybersicherheit
Der Einsatz von KI-gesteuerten Deepfakes als primäres Werkzeug für Social Engineering stellt die globale Finanz- und Technologiebranche vor völlig neue Herausforderungen. Traditionelle Phishing-Indikatoren wie schlechte Grammatik oder verdächtige Links verlieren an Bedeutung, wenn Angreifer mit generativer KI perfekte Imitationen vertrauter Kollegen erzeugen können.
Stand Ende April 2026 ist die Kampagne weiterhin aktiv. Täglich tauchen neue Tippfehler-Domains auf. Sicherheitsexperten empfehlen Unternehmen im Krypto-Sektor dringend, strengere Verifikationsprotokolle für Videokonferenzen einzuführen. Dazu gehört die Bestätigung außerhalb der Leitung für jede während eines Meetings angeforderte Softwareaktualisierung.
Der anhaltende Erfolg von BlueNoroffs Einnahmebeschaffung deutet darauf hin, dass staatlich unterstützte Gruppen weiterhin massiv in KI- und Deepfake-Technologien investieren werden. Für Führungskräfte in der Krypto-Branche gilt: Vertrauen ist gut, doppelte Kontrolle ist besser – besonders wenn der Bildschirm zur „Update jetzt“-Aktion auffordert.
