Nordkoreanische Cyberkriminelle nutzen KI-Dipfakes, um Kryptowährungen zu erbeuten

Neue Cyberangriffstaktik einer Gruppe, die mit der DPRK verbunden ist

Google-Experten haben die Arbeit der Hackergruppe UNC1069 offenbart, die vermutlich von den nordkoreanischen Behörden kontrolliert wird. Seit 2018 nutzen sie künstliche Intelligenz, um neue Toolsets und Social‑Engineering-Schemata zu entwickeln, die sich an Bürger und Mitarbeiter von Kryptowährungsunternehmen richten.

Wie ein Angriff aussieht
1. Konto hacken

Die Hacker erhalten Zugang zu einem bestehenden Account (meist in sozialen Netzwerken oder E‑Mail).

2. Videokonferenz starten

Über diesen Account senden sie dem Opfer einen Link zur Zoom‑Sitzung.

3. Deepfake‑Treffen

Im Anruf erscheint ein Video mit einem gefälschten Gesicht – z. B. „CEO eines anderen Krypto‑Unternehmens“. Das wird mithilfe von KI erzeugt und sieht so realistisch aus, dass die meisten Menschen den Betrug nicht bemerken.

4. Schritt‑für‑Schritt “Service”

Der Deepfake erklärt technische Probleme und fordert den Nutzer auf, bestimmte Aktionen an seinem Computer durchzuführen. In den Anweisungen sind schädliche Befehle enthalten, die Backdoors und Daten­diebstahl‑Programme starten.

5. Gewinnung wertvoller Materialien

Nach Ausführung der Anleitung erhalten die Angreifer Zugang zu vertraulichen Informationen und können potenziell Kryptowährungen stehlen.

Technologisches Arsenal
- Gemini (KI‑Assistent) – wurde zur Codegenerierung, Simulation von Softwareupdates und Vorbereitung von Anleitungen verwendet.

- GPT‑4o von OpenAI – wurde von der Gruppe BlueNoroff eingesetzt, um Bilder zu verbessern, die Benutzer von der Echtheit der Einladung überzeugen.

Google bezeichnete diese Technik als „Social Engineering mit KI“ und identifizierte sieben neue Malware-Familien, die Teil des Angriffs sind.

Ziele und Folgen
- Kryptowährungsdiebstahl – Hauptfinanzmotiv.

- Sammlung persönlicher Daten – schafft eine Basis für weitere Social‑Engineering-Kampagnen.

- Angriffe auf die Branche – Ziele umfassen Softwareentwickler, Venture‑Capital-Firmen und deren Führungskräfte.

Ein mit der Gruppe verbundener Account wurde von Google gesperrt, nachdem die Angreifer Gemini zur Entwicklung von Aufklärungstools eingesetzt hatten.

Damit demonstriert UNC1069, wie moderne KI-Technologien Hackern ermöglichen, hochwirksame und schwer zu erkennende Angriffe auf Zielgruppen im Kryptowährungsbereich durchzuführen.