logo ntadmins

BlueNoroff-Kampagne mit gefälschten Zoom-Meetings aufgedeckt

28. April 2026
ai generated Pixa NT kp yamu Jayanath
Quelle: Kp Yamu Jayanath, Pixabay

Angreifer kombinieren KI-generierte Inhalte und gestohlene Videodaten für gezielte Angriffe auf die Krypto-Branche. Hinter diese gezielten Angriffskampagne steckt mit hoher Wahrscheinlichkeit die Gruppe BlueNoroff, eine finanziell motivierte Subgruppierung des Lazarus-Kollektivs mit Verbindungen nach Nordkorea. Ziel war ein nordamerikanisches Web3-/Kryptounternehmen. Die Kampagne macht deutlich, dass Angreifer zunehmend mehrstufige Social-Engineering-Techniken nutzen und dabei gezielt auf glaubwürdige Interaktionen setzen.

Die Analyse zeigt eine mehrstufige Angriffskette, die auf Social Engineering basiert. Angreifer nutzen manipulierte Kalendereinladungen und täuschend echte Zoom- oder Microsoft-Teams-Links, um Opfer in gefälschte Meetings zu locken. Diese Meeting-Umgebungen werden auf Basis einer Kombination aus KI-generierten Bildern, gestohlenen Webcam-Aufnahmen früherer Opfer sowie vorproduzierten Videoinhalten simuliert.

  • Ein zentrales Merkmal der Kampagne ist die Wiederverwendung kompromittierter Inhalte: Webcam-Aufnahmen und weitere Daten aus früheren Angriffen werden genutzt, um neue Zielpersonen anzusprechen und die Glaubwürdigkeit der Täuschung zu erhöhen. Zu den wichtigen Erkenntnissen der Analyse zählen:
  • Zwischen Erstkontakt und Angriff lagen mehrere Monate; die eigentliche Kompromittierung erfolgte in weniger als fünf Minuten nach Interaktion mit dem manipulierten Meeting-Link.
  • Die Analyse der Angreifer-Infrastruktur zeigt, dass im Zeitraum zwischen Ende 2025 und März 2026 über 80 typo-squattete Zoom- und Teams-Domains auf derselben Infrastruktur registriert waren.
  • 80 Prozent der identifizierten Zielpersonen stammen aus dem Kryptowährungs- bzw. Finanzumfeld, 45 Prozent sind CEOs oder Gründer. Das unterstreicht den klaren operativen Fokus von BlueNoroff auf Personen mit Zugriff auf Krypto-Vermögenswerte, Wallet-Infrastrukturen, Handelsplattformen oder auf Investitionsentscheidungen.
  • Aktivitätsmuster der Angreifer konzentrieren sich auf reguläre Arbeitszeiten in Nordkorea. Dieses Muster entspricht dem Vorgehen staatlich unterstützter Akteure mit regulären Arbeitszeiten. Der Operator arbeitet in einer Dual-OS-Umgebung, nutzt macOS als primäres Host-System und verwendet den Benutzernamen „king“.

Darüber hinaus identifizierte Arctic Wolf mehr als 100 betroffene Personen, deren Bild- oder Videomaterial im Rahmen der Kampagne verwendet wurde. Die Analyse von über 950 Dateien aus der Angreifer-Infrastruktur zeigt eine strukturierte Vorgehensweise bei der Erstellung und Verwaltung dieser Inhalte.

Die vollständige Untersuchung dokumentiert den gesamten Angriffsverlauf von der initialen Kontaktaufnahme über die technische Kompromittierung bis hin zu Persistenzmechanismen und Datenexfiltration sowie konkrete Maßnahmen zur Eindämmung und Prävention. (rhh)

Zum Arctic Wolf Blogpost

Lesen Sie auch

Beispiel für eine Angriffskette die veranschaulicht wie eine bösartige OpenClaw Funktion zu verschiedenen Ausführungswegen für Malware führt (Quelle Zscaler Inc )

Cyber-Kriminelle missbrauchen OpenClaw-Workflows zur Verbreitung von Remcos RAT und GhostLoader

log in Pixa NT geralt

IAM neu denken – Agentic AI braucht eigene Identitäten

social email threats report

KI und Phishing-as-a-Service treiben den Anstieg von E-Mail-Angriffen voran