Eine nordkoreanische Hackergruppe missbraucht die Werbesysteme von Google und Naver, um Schadsoftware zu verbreiten. Sicherheitsforscher des Genians Security Center (GSC) deckten die Kampagne „Operation Poseidon“ auf. Sie nutzt vertrauenswürdige Infrastruktur, um Sicherheitsfilter auszuhebeln.
So verwandeln Hacker Werbung in eine Waffe
Die Gruppe „Konni“, die mit dem nordkoreanischen Kimsuky-Cluster verbunden ist, nutzt eine raffinierte Taktik. Sie missbraucht die Klick-Tracking-Funktionen von Werbenetzwerken. Statt direkter Links zu Malware-Seiten verwenden die Angreifer legitime Weiterleitungs-URLs von Google Ads.
Für Sicherheitssoftware sieht der Datenverkehr zunächst wie harmloser Werbetraffic aus. Erst nach dem Klick leitet eine Kette von Umleitungen auf Server der Hacker. Diese Methode schmuggelt Angriffe auch an strengen E-Mail-Filtern vorbei.
Viele IT‑Teams erkennen Phishing-Angriffe, wenn die Schadsoftware bereits zugeschlagen hat. Besonders perfide: Angriffe über manipulierte Werbe‑Weiterleitungen und gezielte Spear‑Phishing‑Mails umgehen klassische Filter. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie Phishing‑Kampagnen erkennen, Weiterleitungsketten analysieren und Mitarbeitende effektiv schulen – plus konkrete Checklisten für Ihre IT‑Abteilung. Anti‑Phishing‑Paket jetzt herunterladen
EndRAT: Der unsichtbare Spion im System
Das finale Ziel ist die Installation des Remote Access Trojaners „EndRAT“. Dieser Schädling gewährt den Angreifern vollen Fernzugriff. Er kann Daten stehlen, Tastatureingaben aufzeichnen und weitere Schadmodule nachladen.
Die Verbreitung läuft über gezielte Spear-Phishing-Mails. Die Hacker geben sich als nordkoreanische Menschenrechtsorganisationen oder Banken aus. Die E-Mails enthalten Links, die über die manipulierte Werbe-Infrastruktur den Download der Malware starten – oft versteckt in ZIP-Archiven.
Kompromittierte Webseiten als Drehscheibe
Ein weiterer Trick: Die Hacker kapern schlecht gesicherte WordPress-Webseiten. Sie nutzen sie als Verteilungszentren und Steuerungsserver (C2). Das erschwert die Abwehr, weil blockierte Domains ständig wechseln und zu gehackten, aber legitimen Seiten gehören.
Ursprünglich konzentrierten sich die Angriffe auf das südkoreanische Portal Naver. Inzwischen weiten sie sich auf das globale Google-Anzeigennetzwerk aus. Das erhöht die potenzielle Reichweite massiv.
Branche warnt vor neuem Bedrohungsniveau
Der Missbrauch von Google Ads markiert eine neue Eskalationsstufe. Zwar wurde Lösungsansatz: Suchmaschinenwerbung schon früher für „Malvertising“ genutzt. Die gezielte Kombination mit staatlicher Spionage-Software ist jedoch eine neue Qualität.
Experten fordern, dass Werbenetzwerke ihre Verifizierungsmechanismen für Weiterleitungs-Links drastisch verschärfen müssen. Die aktuelle Kampagne zeigt klare Lücken in der Überprüfung von Werbetreibenden und ihren Ziel-URLs.
Für Nutzer und Unternehmen gilt: Selbst Links, die zu Google zu führen scheinen, verdienen Skepsis. IT-Abteilungen müssen ihre Filter anpassen, um ganze Weiterleitungsketten zu analysieren. Die „Operation Poseidon“ könnte nur der Anfang sein.
PS: Wenn Sie verhindern wollen, dass Ihre Mitarbeitenden auf manipulierte Werbelinks oder gefälschte Bank‑Mails hereinfallen, lohnt sich der kompakte Gratis‑Report mit praxisnahen Abwehrmaßnahmen. Er enthält Beispiele echter Angriffe, psychologische Erkennungsmerkmale und fertige Vorlagen für Mitarbeiterschulungen — ideal, um Ihre Sicherheitsvorkehrungen sofort zu verbessern. Gratis Anti‑Phishing‑Guide anfordern
