Nordkoreanische IT-Mitarbeiter nutzten über 30 gefälschte Identitäten, um Krypto-Unternehmen ins Visier zu nehmen: Bericht
Ein kompromittiertes Gerät eines nordkoreanischen IT-Mitarbeiters hat die internen Abläufe des Teams hinter dem 680.000-Dollar-Hack von Favrr aufgedeckt – einschließlich der Nutzung von Google-Tools zur Zielauswahl von Krypto-Projekten.
Zusammenfassung- Ein kompromittiertes Gerät eines nordkoreanischen IT-Mitarbeiters enthüllte die Arbeitsweise der Bedrohungsakteure.
- Beweise zeigen, dass die Operativen Google-Tools, AnyDesk und VPNs nutzten, um Krypto-Firmen zu infiltrieren.
Laut dem On-Chain-Analyst ZachXBT begann die Spur mit einer anonymen Quelle, die Zugriff auf einen der Rechner der Arbeiter erhielt. Dabei wurden Screenshots, Google-Drive-Exporte und Chrome-Profile entdeckt, die Einblick in die Planung und Durchführung der Betrugsschemata gaben.
Anhand von Wallet-Aktivitäten und digitalen Fingerabdrücken verifizierte ZachXBT das Material und verknüpfte die Kryptowährungs-Transaktionen der Gruppe mit dem June-2025-Exploit der Fan-Token-Plattform Favrr. Eine Wallet-Adresse („0x78e1a“) wies direkte Verbindungen zu gestohlenen Geldern aus dem Vorfall auf.
Einblick in die Operation
Das kompromittierte Gerät zeigte, dass das kleine Team – insgesamt sechs Mitglieder – mindestens 31 gefälschte Identitäten teilte. Um Blockchain-Entwicklungsjobs zu erhalten, sammelten sie staatlich ausgestellte Ausweise und Telefonnummern und kauften sogar LinkedIn- und Upwork-Konten, um ihre Tarnung zu vervollständigen.
Ein auf dem Gerät gefundenes Interview-Skript zeigte, wie sie mit angeblicher Erfahrung bei bekannten Blockchain-Firmen wie Polygon Labs, OpenSea und Chainlink prahlten.
Google-Tools waren zentral für ihren organisierten Workflow. Die Bedrohungsakteure nutzten Drive-Tabellen zur Budget- und Zeitplanverwaltung, während Google Translate die Sprachbarriere zwischen Koreanisch und Englisch überbrückte.
Unter den entdeckten Daten befand sich eine Tabelle, die zeigte, dass die IT-Mitarbeiter Computer mieteten und VPN-Zugänge kauften, um frische Konten für ihre Operationen zu erstellen.
Das Team setzte auch auf Fernzugriffstools wie AnyDesk, um Client-Systeme zu kontrollieren, ohne ihren echten Standort preiszugeben. VPN-Logs verbanden ihre Aktivitäten mit mehreren Regionen und verschleierten nordkoreanische IP-Adressen.
Weitere Erkenntnisse offenbarten, dass die Gruppe nach Möglichkeiten suchte, Token über verschiedene Blockchains zu verteilen, europäische KI-Firmen ausspähte und neue Ziele im Krypto-Sektor identifizierte.
Nordkoreanische Bedrohungsakteure nutzen Remote-Jobs
ZachXBT entdeckte ein Muster, das in mehreren Cybersecurity-Berichten beschrieben wurde: Nordkoreanische IT-Mitarbeiter nehmen legitime Remote-Jobs an, um in den Krypto-Sektor einzudringen. Indem sie sich als Freelance-Entwickler ausgeben, erhalten sie Zugriff auf Code-Repositories, Backend-Systeme und Wallet-Infrastrukturen.
Ein auf dem Gerät gefundenes Dokument enthielt Interview-Notizen und Vorbereitungsmaterialien, die vermutlich während Gesprächen mit potenziellen Arbeitgebern verwendet wurden.
Übersetzt von CryptoH0und
