Nordkoreanische Agenten wurden live vor der Kamera erwischt, nachdem Sicherheitsforscher sie in einen präparierten "Entwickler-Laptop" gelockt hatten, wobei aufgezeichnet wurde, wie die mit Lazarus verbundene Crew versuchte, sich mithilfe legitimer KI-Rekrutierungstools und Cloud-Dienste in eine US-Krypto-Job-Pipeline einzuschleusen.
Die Entwicklung im staatlich geförderten Cybercrime wurde Berichten zufolge in Echtzeit von Forschern bei BCA LTD, NorthScan und der Malware-Analyseplattform ANY.RUN erfasst.
Den nordkoreanischen Angreifer fangen
Hacker News teilte mit, wie das Team in einer koordinierten Undercover-Operation einen "Honeypot" einsetzte, eine als legitimer Entwickler-Laptop getarnte Überwachungsumgebung, um die Lazarus-Gruppe anzulocken.
Das resultierende Filmmaterial bietet der Branche den bisher klarsten Einblick, wie nordkoreanische Einheiten, insbesondere die Famous Chollima Division, traditionelle Firewalls umgehen, indem sie einfach von der Personalabteilung des Ziels eingestellt werden.
Die Operation begann, als Forscher eine Entwickler-Persona erstellten und eine Interviewanfrage von einem Rekrutierer mit dem Alias "Aaron" annahmen. Anstatt eine Standard-Malware-Nutzlast einzusetzen, lenkte der Rekrutierer das Ziel zu einer im Web3-Sektor üblichen Remote-Beschäftigungsvereinbarung.
Als die Forscher Zugang zum "Laptop" gewährten, der in Wirklichkeit eine stark überwachte virtuelle Maschine war, die eine US-basierte Workstation imitieren sollte, versuchten die Agenten nicht, Code-Schwachstellen auszunutzen.
Stattdessen konzentrierten sie sich darauf, ihre Präsenz als scheinbar vorbildliche Mitarbeiter zu etablieren.
Vertrauen aufbauen
Einmal in der kontrollierten Umgebung demonstrierten die Agenten einen Arbeitsablauf, der darauf optimiert war, sich einzufügen, anstatt einzubrechen.
Sie nutzten legitime Job-Automatisierungssoftware, darunter Simplify Copilot und AiApply, um ausgefeilte Interviewantworten zu generieren und Bewerbungsformulare im großen Maßstab auszufüllen.
Diese Nutzung westlicher Produktivitätstools unterstreicht eine beunruhigende Eskalation und zeigt, dass staatliche Akteure genau die KI-Technologien nutzen, die zur Rationalisierung der Unternehmensrekrutierung entwickelt wurden, um sie zu besiegen.
Die Untersuchung ergab, dass die Angreifer ihren Datenverkehr über Astrill VPN leiteten, um ihren Standort zu verschleiern, und browserbasierte Dienste nutzten, um 2FA-Codes im Zusammenhang mit gestohlenen Identitäten zu verarbeiten.
Das Endziel war nicht die sofortige Zerstörung, sondern langfristiger Zugriff. Die Agenten konfigurierten Google Remote Desktop über PowerShell mit einer festen PIN und stellten so sicher, dass sie die Kontrolle über die Maschine behalten konnten, selbst wenn der Host versuchte, Berechtigungen zu widerrufen.
Daher waren ihre Befehle administrativ und führten Systemdiagnosen zur Validierung der Hardware aus.
Im Wesentlichen versuchten sie nicht, sofort eine Wallet zu knacken.
Stattdessen versuchten die Nordkoreaner, sich als vertrauenswürdige Insider zu etablieren und sich so zu positionieren, dass sie Zugang zu internen Repositories und Cloud-Dashboards erhalten.
Ein Milliarden-Dollar-Einnahmestrom
Dieser Vorfall ist Teil eines größeren industriellen Komplexes, der Beschäftigungsbetrug zu einem primären Einnahmefaktor für das sanktionierte Regime gemacht hat.
Das Multilaterale Sanktionsüberwachungsteam schätzte kürzlich, dass mit Pjöngjang verbundene Gruppen zwischen 2024 und September 2025 etwa 2,83 Milliarden Dollar in digitalen Vermögenswerten gestohlen haben.
Diese Zahl, die etwa ein Drittel von Nordkoreas Deviseneinkommen darstellt, deutet darauf hin, dass Cyber-Diebstahl zu einer souveränen Wirtschaftsstrategie geworden ist.
Die Wirksamkeit dieses Angriffsvektors der "menschlichen Schicht" wurde im Februar 2025 während des Einbruchs in die Bybit-Börse verheerend bewiesen.
Bei diesem Vorfall nutzten Angreifer, die der TraderTraitor-Gruppe zugeschrieben wurden, kompromittierte interne Anmeldedaten, um externe Überweisungen als interne Vermögensbewegungen zu tarnen und letztendlich die Kontrolle über einen Cold-Wallet Smart-Contract zu erlangen.
Die Compliance-Krise
Die Verlagerung hin zum Social Engineering schafft eine schwere Haftungskrise für die Branche der digitalen Vermögenswerte.
Anfang dieses Jahres dokumentierten Sicherheitsfirmen wie Huntress und Silent Push Netzwerke von Scheinfirmen, darunter BlockNovas und SoftGlide, die über gültige US-Unternehmensregistrierungen und glaubwürdige LinkedIn-Profile verfügen.
Diese Unternehmen verleiten Entwickler erfolgreich dazu, unter dem Vorwand technischer Bewertungen bösartige Skripte zu installieren.
Für Compliance-Beauftragte und Chief Information Security Officers hat sich die Herausforderung verändert. Traditionelle Know-Your-Customer (KYC)-Protokolle konzentrieren sich auf den Kunden, aber der Lazarus-Workflow erfordert einen strengen "Know Your Employee"-Standard.
Das Justizministerium hat bereits mit dem Vorgehen begonnen und 7,74 Millionen Dollar beschlagnahmt, die mit diesen IT-Systemen verbunden sind, aber die Erkennungsverzögerung bleibt hoch.
Wie die BCA LTD-Operation zeigt, besteht der einzige Weg, diese Akteure zu fangen, möglicherweise darin, von passiver Verteidigung zu aktiver Täuschung überzugehen und kontrollierte Umgebungen zu schaffen, die Bedrohungsakteure zwingen, ihr Handwerk zu offenbaren, bevor ihnen die Schlüssel zur Schatzkammer übergeben werden.
Quelle: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
