Arctic Wolf Labs hat eine gezielte Angriffskampagne identifiziert, hinter der mit hoher Wahrscheinlichkeit die Gruppe BlueNoroff, eine finanziell motivierte Subgruppierung des Lazarus-Kollektivs mit Verbindungen nach Nordkorea, steht. Ziel war ein nordamerikanisches Web3-/Kryptounternehmen. Die Kampagne macht deutlich, dass Angreifer zunehmend mehrstufige Social-Engineering-Techniken nutzen und dabei gezielt auf glaubwürdige Interaktionen setzen.
Die Analyse zeigt eine mehrstufige Angriffskette, die auf Social-Engineering basiert. Angreifer nutzen manipulierte Kalendereinladungen und täuschend echte Zoom- oder Microsoft-Teams-Links, um Opfer in gefälschte Meetings zu locken. Diese Meeting-Umgebungen werden auf Basis einer Kombination aus KI-generierten Bildern, gestohlenen Webcam-Aufnahmen früherer Opfer sowie vorproduzierten Videoinhalten simuliert.
Ein zentrales Merkmal der Kampagne ist die Wiederverwendung kompromittierter Inhalte: Webcam-Aufnahmen und weitere Daten aus früheren Angriffen werden genutzt, um neue Zielpersonen anzusprechen und die Glaubwürdigkeit der Täuschung zu erhöhen.
Zentrale Erkenntnisse:
- Zwischen Erstkontakt und Angriff lagen mehrere Monate; die eigentliche Kompromittierung erfolgte in weniger als fünf Minuten nach Interaktion mit dem manipulierten Meeting-Link.
- Die Analyse der Angreiferinfrastruktur zeigt, dass im Zeitraum zwischen Ende 2025 und März 2026 über 80 typo-squattete Zoom- und Teams-Domains auf derselben Infrastruktur registriert waren.
- 80 % der identifizierten Zielpersonen stammen aus dem Kryptowährungs- bzw. Finanzumfeld, 45 % sind CEOs oder Gründer. Das unterstreicht den klaren operativen Fokus von BlueNoroff auf Personen mit Zugriff auf Krypto-Vermögenswerte, Wallet-Infrastrukturen, Handelsplattformen oder auf Investitionsentscheidungen.
- Aktivitätsmuster der Angreifer konzentrieren sich auf reguläre Arbeitszeiten in Nordkorea. Dieses Muster entspricht dem Vorgehen staatlich unterstützter Akteure mit regulären Arbeitszeiten. Der Operator arbeitet in einer Dual-OS-Umgebung, nutzt MacOS als primäres Host-System und verwendet den Benutzernamen „king“.
Darüber hinaus identifizierte Arctic Wolf mehr als 100 betroffene Personen, deren Bild- oder Videomaterial im Rahmen der Kampagne verwendet wurde. Die Analyse von über 950 Dateien aus der Angreifer-Infrastruktur zeigt eine strukturierte Vorgehensweise bei der Erstellung und Verwaltung dieser Inhalte.
Die vollständige Untersuchung dokumentiert den gesamten Angriffsverlauf von der initialen Kontaktaufnahme über die technische Kompromittierung bis hin zu Persistenzmechanismen und Datenexfiltration sowie konkrete Maßnahmen zur Eindämmung und Prävention. Weitere Details finden sich im Arctic Wolf Blogpost.
#ArcticWolf
