FEHLER!

Nordkoreas Cyberkriminelle ‚Konni‘: Phishing-Angriffe auf Entwicklerteams in Asien

Nordkoreanische Cyberkriminelle, die sich in der IT-Sicherheitsbranche unter dem Namen „Konni“ präsentieren und mit Verbindungen zu Nordkorea assoziiert werden, haben ihre Aktivitäten erweitert und richten ihre Angriffe nun verstärkt auf Entwicklerteams innerhalb der Asien-Pazifik-Region aus. Traditionell fokussierte Konni ihre Bemühungen auf Südkorea, hat jedoch ihr Tätigkeitsfeld in Richtung eines breiteren Spektrums ausgeweitet, das umfassend Australien, Indien und Japan einschließt. Der Fokus liegt dabei explizit auf Entwicklern und Programmierteams, die Zugang zu Ressourcen und Infrastrukturen im Zusammenhang mit Blockchain-Technologie besitzen.

Diese gezielte Ausrichtung lässt sich an den Phishing-Attacken erkennen, die Konni einsetzt, um Entwickler zu täuschen. Die Angreifer verschicken scheinbar legitime Projektdokumente, die technische Details wie Architektur, Technologie-Stacks und Entwicklungszeitpläne enthalten – allesamt Elemente, die für Entwickler relevant sind und Vertrauen suggerieren. Checkpoint, das IT-Sicherheitsunternehmen, welches diese Aktivitäten analysiert, geht davon aus, dass Konni durch diese Dokumente versucht, Entwicklungsumgebungen zu infiltrieren und dadurch Zugriff auf sensible Krypto-Assets sowie Infrastruktur zu erlangen. Das Ziel umfasst API-Zugangsdaten, Wallet-Zugänge und letztendlich den Zugriff auf Kryptowährungen selbst.

Ein besonders auffälliges Merkmal dieser Angriffe ist die Komplexität und Struktur des verwendeten Schadcodes. Er zeichnet sich durch eine unübliche Detailtiefe in der Dokumentation aus, was für herkömmlichen APT-Schadcode ungewöhnlich ist. Der Code ist zudem logisch in einzelne Sektionen gegliedert, die spezifische Aufgaben erfüllen, wodurch der Anschein von moderner Softwareentwicklung statt spontaner Malware-Entwicklung entsteht. Besonders verdächtig ist ein Kommentar im Programmcode: „ – your permanent project UUID/code“. Diese Formulierung wird von den IT-Forschern als charakteristisch für Code interpretiert, der mit Large Language Models (LLMs) generiert wurde, da LLMs explizite Anweisungen an Benutzer liefern, wie Platzhalterwerte angepasst werden sollen. Obwohl diese Indizien noch keine definitive Zuordnung zur KI-Generierung zulassen, deuten sie stark darauf hin.

Checkpoint liefert in ihrem Bericht detaillierte Einblicke in die Funktionsweise der Skripte und die Infektionsketten sowie eine Liste von Hinweisen auf Kompromittierung (Indicators of Compromise, IOCs), die Sicherheitsteams bei der Erkennung und Abwehr solcher Angriffe unterstützen sollen. Die Analyse verdeutlicht die zunehmende Komplexität und den technologischen Wandel im Cyberkriminalitäts-Spektrum, wobei KI als mächtiges Werkzeug im Kampf um digitale Sicherheit eine immer wichtigere Rolle spielt.

Schlagwörter: Konni + LLMs + Nordkorea

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 26. Januar 2026