Thought Leadership
In der Ukraine ist eine neue Cyberbedrohung aufgetaucht: Die staatlich gesteuerte Hackergruppe TA406 aus Nordkorea greift gezielt politische Einrichtungen an. Die Aktion wirft Fragen zur Rolle Nordkoreas im digitalen Schattenkrieg des Russland-Ukraine-Konflikts auf.
Angriff aus dem digitalen Schatten
Eine von Nordkorea unterstützte Hackergruppe, bekannt unter dem Namen TA406, hat ukrainische Regierungsinstitutionen mit einer raffiniert aufgebauten Cyberkampagne attackiert. Wie die Cybersicherheitsfirma Proofpoint in einer aktuellen Analyse berichtet, startete die Offensive bereits im Februar 2025. Ziel der Attacken: strategische Einblicke in die militärische und politische Lage der Ukraine – offenbar, um Risiken für die nordkoreanischen Soldaten, die Russland im Krieg unterstützen, besser einschätzen zu können.
TA406, auch bekannt als „Opal Sleet“ oder „Konni“, fällt dabei mit einem bemerkenswerten Strategiewechsel auf. Die Gruppe war zuvor durch Angriffe auf russische Regierungsstellen aufgefallen, scheint nun aber ihre Spionageaktivitäten auf ukrainische Ziele zu konzentrieren.
Gefährliche Tarnung: Phishing mit politischem Köder
Der Cyberangriff begann mit täuschend echten E-Mails, angeblich von einem Experten eines erfundenen Think Tanks, dem „Royal Institute of Strategic Studies“. Diese Mails nutzten aktuelle politische Entwicklungen als Aufhänger, um Glaubwürdigkeit zu erzeugen. Der eigentliche Clou: In den E-Mails befanden sich Links zu Cloud-Diensten wie MEGA, die passwortgeschützte Archive mit Schadsoftware bereitstellten.
Einmal geöffnet, startete auf dem Zielsystem eine Infektionskette per PowerShell, die systematisch Informationen über das kompromittierte Gerät sammelte – von Netzwerkdaten über zuletzt genutzte Dateien bis hin zu installierter Sicherheitssoftware. Die Daten wurden Base64-kodiert an Server übermittelt, die TA406 kontrolliert.
Neue Angriffsmethoden: LNK-Fallen und HTML-Köder
Proofpoint beobachtete auch andere Taktiken: In einigen Fällen versendeten die Angreifer HTML-Dateien mit eingebetteten Links, die beim Anklicken ZIP-Archive mit einer harmlosen PDF-Datei und einer manipulativen LNK-Datei herunterluden. Diese trug den brisanten Titel „Why Zelenskyy fired Zaluzhnyi.lnk“. Ein Klick auf die Datei aktivierte erneut PowerShell-Skripte, die nachgeladene Schadsoftware ausführten – der finale Schadcode konnte allerdings nicht mehr vollständig analysiert werden.
Erst die Daten, dann die Malware: Vorgehen in zwei Phasen
Schon vor dem eigentlichen Angriff verschickte TA406 täuschend echte Phishing-Mails, die vorgaben, von Microsoft zu stammen. Sie warnten vor ungewöhnlichen Login-Aktivitäten und forderten die Empfänger zur Überprüfung auf. Dahinter verbarg sich eine gefälschte Anmeldeseite, über die Passwörter abgegriffen wurden. Die betroffenen Adressen tauchten später auch bei den Malware-Attacken wieder auf – ein Hinweis auf eine abgestufte Angriffstaktik, bei der gezielte Datendiebstähle der Vorbereitung dienten.
Spionage im Dienste geopolitischer Interessen
Die Analyse von Proofpoint legt nahe, dass es TA406 weniger um unmittelbare militärische Vorteile geht, sondern um die strategische Einschätzung der Kriegslage. Seitdem Nordkorea im Herbst 2024 eigene Truppen zur Unterstützung Russlands entsandte, wächst in Pjöngjang offenbar die Sorge um deren Sicherheit. Während russische Hackergruppen oft taktische Informationen aus dem Gefechtsfeld sammeln, sucht TA406 nach größeren Zusammenhängen – etwa zur Widerstandsfähigkeit der Ukraine oder zu möglichen weiteren Anforderungen Russlands.
Fazit
Der digitale Kriegsschauplatz Ukraine wird zunehmend internationalisiert – auch durch Akteure wie Nordkorea, die sich nicht mit offener Militärhilfe begnügen. Der Wechsel der Zielrichtung bei TA406 zeigt dabei deutlich, wie flexibel und geopolitisch motiviert staatlich unterstützte Cyberoperationen heute agieren.
Weitere Informationen:
Die vollständige Analyse der Proofpoint-Experten finden Sie im neuesten Threat Blog des Cybersecurity-Unternehmens im englischen Original.
(vp/Proofpoint)
