3 Minuten
Überblick: Ein kompromittiertes Gerät deckt nordkoreanischen Krypto-Hack auf
Ein enttarntes Gerät eines nordkoreanischen IT-Mitarbeiters hat den Blick auf eine strukturierte Cyber-Operation eröffnet, die auf verschiedene Krypto-Projekte abzielte und schließlich im Juni 2025 zum Angriff auf den Fan-Token-Marktplatz Favrr führte. Der Blockchain-Analyst ZachXBT hat anhand von Wallet-Bewegungen sowie digitalen Spuren aus Screenshots, exportierten Google Drive-Dateien und im kompromittierten Computer gespeicherten Chrome-Profilen die Zusammenhänge rekonstruiert. Dabei konnte die Wallet-Adresse 0x78e1a direkt den bei dem Favrr-Hack gestohlenen Geldern zugeordnet werden.
Die Abläufe: Falsche Identitäten, Remote-Jobs und Google-Dienste
Im Zuge der Untersuchung wurde klar, dass ein kleines Team aus sechs Beteiligten agierte, die mindestens 31 gefälschte Identitäten pflegten. Um sich glaubwürdig als Blockchain-Entwickler zu präsentieren, sammelten sie staatliche Ausweise und Telefonnummern, kauften Accounts bei LinkedIn und Upwork und bauten so ihre Scheinbiografien aus. In Interview-Skripten auf dem kompromittierten Gerät behaupteten sie Erfahrungen bei renommierten Unternehmen wie Polygon Labs, OpenSea und Chainlink.
Arbeitsprozesse basierend auf Google-Diensten und Fernzugriff
Google-Produkte bildeten das Rückgrat ihrer Arbeitsweise. Mit Drive-Tabellen behielten die Angreifer den Überblick über Budget und Zeitpläne, Chrome-Profile dienten der Verwaltung von Zugängen und Google Translate fungierte als Übersetzungsbrücke zwischen Koreanisch und Englisch. In weiteren Dateien fanden sich Listen zu gemieteten Computern sowie Zahlungen für VPN-Services, mit denen neue Online-Identitäten für die Operationen erschaffen wurden.
Verschleierung von Standorten und Kontrolle von Zielsystemen
Die Gruppe nutzte Fernwartungsprogramme wie AnyDesk, um auf Kundensysteme zuzugreifen, ohne den eigenen Standort preiszugeben. VPN-Protokolle belegten, dass die Datenströme gezielt über verschiedene Länder umgeleitet wurden, um nordkoreanische IP-Adressen zu verbergen. Mittels dieser Methoden erhielt das Kollektiv Zugriff auf Quellcode-Repositorien, Backend-Strukturen und Wallet-Systeme – und konnte damit das Risiko einer Entdeckung stark minimieren.
Modus Operandi: Einstieg durch Remote-Arbeitsverhältnisse
Experten für IT-Sicherheit warnen immer wieder vor den Strategien nordkoreanischer IT-Kräfte, die mithilfe legitimer Remote-Positionen gezielt Einlass in die Kryptobranche erlangen wollen. Indem sie sich als scheinbare Freelancer ausgeben, verschaffen sie sich privilegierte Zugänge zu sensiblen Entwicklungsumgebungen. Unterlagen auf dem kompromittierten Device zeigten unter anderem Notizen zu Vorstellungsgesprächen sowie Vorbereitungsunterlagen, die mutmaßlich während Videocalls mit Arbeitgebern sichtbar auf dem Bildschirm angezeigt wurden – ein Hinweis auf ausgefeilte Social-Engineering-Taktiken.
Weitreichende Folgen für die Sicherheit von Blockchain-Unternehmen
Über den Favrr-Hack hinaus belegten die gesicherten Daten, dass das Team gezielt die Einführung von Token auf verschiedenen Blockchains recherchierte, europäische KI-Unternehmen überwachte und neue Ziele in der Kryptowelt identifizierte. Für Krypto-Börsen, Marktplätze und Blockchain-Projekte unterstreicht dieser Fall die Dringlichkeit, bei Fernarbeits-Positionen auf strenge Background-Checks, mehrstufige Zugriffskontrollen, kontinuierliche Überwachung von Code-Repositorien sowie robuste Sicherheitsmechanismen für Wallets zu setzen, um Kompromittierungen durch Insider abzuwenden.
Fazit
Der Favrr-Hack und das kompromittierte Gerät verdeutlichen, wie ein professionell organisiertes Bedrohungsakteur-Kollektiv mit Methoden aus dem Bereich Social Engineering, geleakten Identitäten und gängigen Cloud-Tools erfolgreich die Zielunternehmen ausspioniert und geschädigt hat. Um vergleichbare Angriffe in Zukunft abzuwehren, sind strikte Segmentierung von Entwicklerzugängen, konsequente Identitätsprüfung und ein wachsames Monitoring verdächtiger Wallet-Aktivitäten von entscheidender Bedeutung.
Quelle: crypto
Kommentare