Thought Leadership
Eine Untergruppe der berüchtigten Lazarus-Gruppe, bekannt unter dem Namen BlueNoroff, hat ihre Aktivitäten ausgeweitet und richtet ihre Angriffe derzeit gezielt gegen Führungskräfte und Entwickler in der Krypto-Industrie.
Forschende des Global Research and Analysis Teams (GReAT) von Kaspersky präsentierten auf dem Security Analyst Summit in Thailand neue Erkenntnisse zu zwei aktuellen Kampagnen, die unter den Namen GhostCall und GhostHire laufen.
Die Angriffe betreffen sowohl Windows- als auch macOS-Systeme und haben nach bisherigen Erkenntnissen seit April 2025 Unternehmen und Einzelpersonen in Europa, Asien, Australien, Indien und der Türkei getroffen.
Täuschung über Video-Meetings: Die Kampagne GhostCall
GhostCall nutzt soziale Manipulation und setzt auf täuschend echte Kommunikationsszenarien. Zielpersonen – meist Führungskräfte der Krypto-Industrie – werden über Telegram kontaktiert. Die Angreifer geben sich als Investoren oder Start-up-Gründer aus und greifen dabei teils auf gehackte Konten realer Personen zurück.
Über gefälschte Videokonferenzen, die Plattformen wie Zoom oder Microsoft Teams imitieren, werden Betroffene dazu gebracht, ein angebliches Software-Update zu installieren. Statt einer Aktualisierung wird jedoch ein Schadprogramm eingeschleust, das Zugriff auf sensible Daten wie Kryptowährungs-Wallets, Browser-Logins und Telegram-Konten verschafft.
Die Angreifer arbeiten mit mehrstufigen Angriffsketten, die bisher teils unbekannte Techniken und neu entwickelte Schadsoftware einsetzen. Nach Angaben der Forschenden werden die gewonnenen Informationen nicht nur für den unmittelbaren Angriff genutzt, sondern auch für weiterführende Kompromittierungen innerhalb bestehender Geschäftsbeziehungen.
GhostHire: Gefälschte Jobangebote als Einfallstor
Während GhostCall auf Management-Ebene ansetzt, zielt GhostHire auf Entwickler und technische Fachkräfte. Hierbei geben sich die Angreifer als Personalvermittler aus und versenden fingierte Bewerbungsaufgaben über Telegram oder GitHub. Opfer werden gebeten, ein vermeintliches Testprojekt herunterzuladen – meist als ZIP-Datei oder Repository. In Wahrheit enthält dieses Archiv Schadsoftware, die sich nach dem Öffnen automatisch installiert.
Die beiden Kampagnen teilen sich die technische Infrastruktur und setzen auf denselben Kontrollserver. Im Gegensatz zu GhostCall verzichtet GhostHire jedoch auf Videokonferenzen und konzentriert sich auf manipulierte Bewerbungsprozesse.
KI als Beschleuniger der Angriffsentwicklung
Laut Kaspersky nutzt BlueNoroff zunehmend generative KI, um Schadsoftware zu entwickeln und Angriffstechniken zu verbessern. Durch den Einsatz neuer Programmiersprachen und KI-gestützter Analysewerkzeuge können die Angriffe schneller angepasst und schwerer erkannt werden.
Die Gruppe hat ihre Strategie zudem erweitert: Ging es früher primär um den Diebstahl von Kryptowährungen, so stehen heute auch der Zugang zu internen Netzwerken und Lieferkettenbeziehungen im Fokus.
Empfehlungen zum Schutz
Kaspersky rät Unternehmen der Krypto-Branche und verwandten Bereichen zu besonderer Vorsicht bei unerwarteten Kontaktaufnahmen über soziale Netzwerke oder Messenger-Dienste. Identitäten von Gesprächspartnern sollten stets über unabhängige Kanäle überprüft werden.
Zudem empfiehlt das Unternehmen den Einsatz moderner Schutzmechanismen, regelmäßige Sicherheitsüberprüfungen sowie Schulungen zur Erkennung von Social-Engineering-Angriffen. Entscheidend sei, dass Sicherheitsverantwortliche Zugriff auf aktuelle Informationen zu Angriffsmethoden und Bedrohungsakteuren haben, um Risiken frühzeitig zu erkennen und zu minimieren.
