Nordkoreanische Hackergruppen nutzen mobile Endgeräte als Einfallstor in Unternehmensnetzwerke – und Künstliche Intelligenz macht die Angriffe effizienter denn je.
Die Bedrohungslage hat sich im Frühjahr 2026 drastisch verschärft. Laut dem am Montag veröffentlichten Cybersicherheitsmonitor des BSI war im vergangenen Jahr bereits jeder neunte Internetnutzer in Deutschland von Cyberkriminalität betroffen. Branchenanalysten meldeten Anfang dieser Woche einen Anstieg der Quishing-Vorfälle um rund 146 Prozent.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Früher vor allem Kleinkriminellen zugeschrieben, setzen staatlich gelenkte Akteure aus Nordkorea die Taktik nun systematisch für Spionage und den Diebstahl digitaler Vermögenswerte ein.
Kimsuky und Lazarus: Die neuen Meister des Quishing
Sicherheitsanalysten beobachten seit Anfang des Jahres verstärkte Aktivitäten der nordkoreanischen Gruppierung Kimsuky, auch bekannt als APT43 oder Velvet Chollima. Statt klassischer Links in E-Mails versenden die Hacker präzise zugeschnittene Spear-Phishing-Nachrichten mit eingebetteten QR-Codes.
Das Ziel: ein bewusster Medienbruch. Die Empfänger sollen den Code mit ihrem privaten oder ungeschützten geschäftlichen Smartphone scannen. Damit verlassen sie den geschützten Raum der Unternehmens-IT, in dem Firewalls und EDR-Systeme greifen würden.
Sobald ein Opfer den Code scannt, landet es auf einer für mobile Geräte optimierten Website. Diese Seiten imitieren täuschend echt die Anmeldeportale von Microsoft 365, Okta oder VPN-Zugängen. In den letzten Monaten gaben sich Angreifer als Diplomaten, Wissenschaftler oder Organisatoren fiktiver Fachkonferenzen aus.
Besonders raffiniert: Die Hacker zielen nicht nur auf Passwörter, sondern vor allem auf Session-Token. Damit umgehen sie selbst eine aktive Multi-Faktor-Authentifizierung (MFA) – ohne eine Sicherheitswarnung auszulösen.
KI macht Angriffe skalierbar
Ein am Dienstag veröffentlichter Forschungsbericht von Google zeigt: Die Professionalisierung dieser Angriffe ist eng mit der Nutzung fortsrittlicher Sprachmodelle verknüpft. Die Hacker-Einheit APT45 nutzt systematisch KI-Systeme, um Schwachstellen in Software-Architekturen zu identifizieren und automatisierte Angriffs-Prompts zu generieren.
Die Technologie erlaubt es, tausende individualisierte Phishing-Szenarien gleichzeitig zu entwerfen. Experten betonen: KI erhöht vor allem die Geschwindigkeit, mit der neu entdeckte Zero-Day-Lücken in großflächige Kampagnen integriert werden können.
Erst vor wenigen Tagen wurde bekannt, dass Angreifer durch KI-Modelle technische Hürden bei der Ausnutzung unbekannter Browser-Schwachstellen überwinden konnten. In Kombination mit Quishing entsteht so ein hybrider Angriffsvektor: Psychologische Manipulation durch QR-Grafiken, während KI-gesteuerte Skripte die Schutzmaßnahmen des mobilen Betriebssystems analysieren und aushebeln.
Milliarden-Schäden – und eine gefährliche Lücke in der Risikowahrnehmung
Die wirtschaftlichen Folgen sind immens. Weltweit beziffern Schätzungen den Schaden durch mobile Cyberkriminalität für 2026 auf rund 21 Milliarden Euro. In Deutschland zeigt der BSI-Bericht eine deutliche Diskrepanz zwischen tatsächlicher Bedrohung und Risikowahrnehmung.
Obwohl 88 Prozent der Opfer von Cyberangriffen im vergangenen Jahr reale Schäden erlitten – finanzielle Verluste bei einem Drittel der Betroffenen – schätzen über 50 Prozent der Nutzer ihr persönliches Risiko weiterhin als gering ein.
Da herkömmliche Passwörter bei modernen Hacker-Angriffen oft keinen ausreichenden Schutz mehr bieten, gewinnt eine neue Technologie an Bedeutung. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und Ihr Konto absichern. Passkey-Ratgeber jetzt gratis nachlesen
Nordkoreanische Operationen wie die Kampagne „Contagious Interview“ der Lazarus-Gruppe zeigen, wie tief die Infiltration bereits ist. Entwickler werden über berufliche Netzwerke kontaktiert und unter dem Vorwand von Jobinterviews dazu verleitet, vermeintliche Test-Software herunterzuladen. In aktuellen Varianten nutzen die Hacker bösartige Skripte in Git-Hooks, um Schadsoftware auf die Rechner von IT-Spezialisten zu schleusen.
Diese Methoden dienen oft als Vorbereitung für größere Diebstähle von Kryptowährungen. Laut Berichten vom Mai 2026 machen diese bereits über 75 Prozent des weltweit entwendeten digitalen Vermögens in diesem Jahr aus.
Warum QR-Codes so gefährlich sind
Die Effektivität von Quishing beruht auf einem psychologischen Paradoxon. Während Nutzer bei verdächtigen Links oder Anhängen vorsichtig sind, genießen QR-Codes ein hohes Maß an Vertrauen – gefestigt durch die weite Verbreitung während der Pandemiejahre.
Ein QR-Code verschleiert die Ziel-URL für das menschliche Auge. Eine schnelle Verifizierung der Seriosität wird so unmöglich. Zudem verlagert das Scannen die Interaktion auf ein Gerät, das oft weniger strengen Sicherheitsrichtlinien unterliegt als ein Firmen-Laptop.
Hinzu kommt: Die von nordkoreanischen Hackern kontrollierten Redirector-Server sammeln beim Scan sofort Informationen über Betriebssystem, IP-Adresse und Standort des Opfers. Diese Daten dienen dazu, eine spezifisch angepasste, mobile Version der Phishing-Seite auszuliefern. Da viele Unternehmen ihren Mitarbeitern die Nutzung privater Geräte erlauben (BYOD), ohne diese konsequent mit MDM-Tools abzusichern, entstehen kritische Sicherheitslücken.
Schutzmaßnahmen: Was jetzt zählt
Sicherheitsbehörden wie FBI und BSI fordern erhöhte Wachsamkeit. Das BSI empfiehlt bereits den schrittweisen Übergang zu Post-Quanten-Kryptografie. Kurzfristig müssen jedoch organisatorische Maßnahmen im Fokus stehen.
Mitarbeiter sollten darauf trainiert werden, QR-Codes in unaufgeforderten E-Mails oder Nachrichten mit derselben Skepsis zu behandeln wie unbekannte Links. Technisch gilt die Implementierung phishing-resistenter MFA-Lösungen auf Basis von Hardware-Sicherheitsschlüsseln als wichtigste Verteidigungslinie gegen Token-Diebstahl.
Unternehmen sollten zudem sicherstellen, dass Sicherheitslösungen für E-Mails auch Bildanalysen durchführen können. So lassen sich QR-Codes bereits im Posteingang identifizieren und auf bösartige Inhalte prüfen.
Da nordkoreanische Akteure ihre Taktiken fast wöchentlich anpassen und zunehmend auch physische QR-Codes im öffentlichen Raum manipulieren, wird die Absicherung der mobilen Schnittstelle zur zentralen Herausforderung der IT-Sicherheit in der zweiten Jahreshälfte 2026.
