Geheime Aufnahmen von einem manipulierten Laptop zeigen, wie nordkoreanische Spione Ihr Sicherheitsteam umgehen.

Nordkoreanische Agenten wurden live von Sicherheitsforschern auf Kamera festgehalten, nachdem diese sie mit einem präparierten „Entwickler-Laptop“ in eine Falle gelockt hatten. Dabei wurde dokumentiert, wie die mit Lazarus in Verbindung stehende Gruppe versuchte, sich mithilfe legitimer KI-Einstellungstools und Cloud-Dienste in eine US-Krypto-Jobpipeline einzuschleusen.

Die Entwicklung staatlich geförderter Cyberkriminalität wurde Berichten zufolge in Echtzeit von Forschern bei BCA LTD, NorthScan und der Malware-Analyseplattform ANY.RUN dokumentiert.

Den nordkoreanischen Angreifer fassen

Hacker News berichtete, dass das Team in einer koordinierten Aktion einen „Honeypot“ einsetzte – eine Überwachungsumgebung, die als legitimer Entwickler-Laptop getarnt war –, um die Lazarus Group anzulocken.

Das entstandene Filmmaterial bietet der Branche den bislang klarsten Einblick, wie nordkoreanische Einheiten, insbesondere die berühmte Chollima-Division, traditionelle Firewalls umgehen, indem sie sich einfach vom Personalwesen des Ziels einstellen lassen.

Die Operation begann, als die Forscher eine Entwickler-Persona erstellten und eine Interviewanfrage von einem als „Aaron“ bekannten Recruiter-Alias annahmen. Anstatt eine Standard-Malware zu installieren, lenkte der Recruiter das Ziel auf ein Remote-Arbeitsverhältnis, wie es im Web3-Sektor üblich ist.

Als die Forscher Zugriff auf den „Laptop“ gewährten, der in Wirklichkeit eine stark überwachte virtuelle Maschine war, die einen US-Arbeitsplatz simulierte, versuchten die Agenten nicht, Code-Schwachstellen auszunutzen.

Stattdessen konzentrierten sie sich darauf, sich als scheinbar vorbildliche Mitarbeiter zu etablieren.

Vertrauen aufbauen

Einmal in der kontrollierten Umgebung demonstrierten die Agenten einen Workflow, der darauf ausgelegt war, sich einzufügen, statt einzubrechen.

Sie nutzten legitime Job-Automatisierungssoftware wie Simplify Copilot und AiApply, um ausgefeilte Interviewantworten zu generieren und Bewerbungsformulare in großem Umfang auszufüllen.

Dieser Einsatz westlicher Produktivitätstools verdeutlicht eine beunruhigende Eskalation: Staatliche Akteure nutzen genau die KI-Technologien, die eigentlich den Einstellungsprozess von Unternehmen optimieren sollen, um diese zu unterwandern.

Die Untersuchung ergab, dass die Angreifer ihren Datenverkehr über Astrill VPN leiteten, um ihren Standort zu verschleiern, und browserbasierte Dienste nutzten, um Zwei-Faktor-Authentifizierungscodes gestohlener Identitäten zu verwalten.

Das Ziel war nicht die sofortige Zerstörung, sondern langfristiger Zugang. Die Agenten konfigurierten Google Remote Desktop über PowerShell mit einer festen PIN, um sicherzustellen, dass sie die Kontrolle über die Maschine behalten konnten, selbst wenn der Host versuchte, die Berechtigungen zu entziehen.

Ihre Befehle waren also administrativ und führten Systemdiagnosen durch, um die Hardware zu überprüfen.

Im Wesentlichen versuchten sie nicht, sofort auf ein Wallet zuzugreifen.

Stattdessen wollten sich die Nordkoreaner als vertrauenswürdige Insider etablieren, um Zugang zu internen Repositorien und Cloud-Dashboards zu erhalten.

Eine Milliardeneinnahmequelle

Dieser Vorfall ist Teil eines größeren industriellen Komplexes, der Beschäftigungsbetrug zu einer der Haupteinnahmequellen des sanktionierten Regimes gemacht hat.

Das Multilateral Sanctions Monitoring Team schätzte kürzlich, dass mit Pjöngjang verbundene Gruppen zwischen 2024 und September 2025 etwa 2.83 billions US-Dollar in digitalen Vermögenswerten gestohlen haben.

Diese Zahl, die etwa ein Drittel der Deviseneinnahmen Nordkoreas ausmacht, deutet darauf hin, dass Cyberdiebstahl zu einer staatlichen Wirtschaftsstrategie geworden ist.

Die Wirksamkeit dieses „Human Layer“-Angriffsvektors wurde im Februar 2025 beim Einbruch in die Bybit-Börse verheerend unter Beweis gestellt.

Bei diesem Vorfall nutzten Angreifer, die der TraderTraitor-Gruppe zugeschrieben werden, kompromittierte interne Zugangsdaten, um externe Überweisungen als interne Vermögensbewegungen zu tarnen und letztlich die Kontrolle über einen Cold-Wallet-Smart-Contract zu erlangen.

Die Compliance-Krise

Die Verlagerung hin zu Social Engineering schafft eine gravierende Haftungskrise für die Digital-Asset-Branche.

Anfang dieses Jahres dokumentierten Sicherheitsfirmen wie Huntress und Silent Push Netzwerke von Briefkastenfirmen, darunter BlockNovas und SoftGlide, die über gültige US-Unternehmensregistrierungen und glaubwürdige LinkedIn-Profile verfügen.

Diese Unternehmen bringen Entwickler erfolgreich dazu, unter dem Vorwand technischer Bewertungen bösartige Skripte zu installieren.

Für Compliance-Beauftragte und Chief Information Security Officers hat sich die Herausforderung verändert. Traditionelle Know Your Customer (KYC)-Protokolle konzentrieren sich auf den Kunden, aber der Lazarus-Workflow erfordert einen rigorosen „Know Your Employee“-Standard.

Das Department of Justice hat bereits begonnen, durchzugreifen und 7.74 millions US-Dollar im Zusammenhang mit diesen IT-Betrugsmaschen beschlagnahmt, aber die Erkennungsverzögerung bleibt hoch.

Wie die BCA LTD-Aktion zeigt, besteht der einzige Weg, diese Akteure zu fassen, möglicherweise darin, von passiver Verteidigung zu aktiver Täuschung überzugehen und kontrollierte Umgebungen zu schaffen, die Bedrohungsakteure zwingen, ihre Methoden preiszugeben, bevor sie die Schlüssel zur Schatzkammer erhalten.

Der Beitrag Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team erschien zuerst auf CryptoSlate.