Gefälschte Videoanrufe und KI-Phishing: So hackte Nordkorea die Kryptowallet Zerion

Der Anbieter von Kryptowallets Zerion wurde Opfer eines Cyberangriffs, bei dem Hacker mit mutmaßlichen Verbindungen zu Nordkorea künstliche Intelligenz einsetzten, um Mitarbeiter zu täuschen. Rund 100.000 Dollar wurden aus den Hot Wallets des Unternehmens entwendet. Benutzerfonds und die zugrunde liegende Infrastruktur blieben unberührt, wie Zerion in einer eigenen Analyse mitteilt.

Nicht die Software, sondern der Mensch als Ziel

Die Angreifer zielten nicht auf technische Schwachstellen, sondern auf die Mitarbeiter. Durch Social Engineering gelang es ihnen, Zugang zu Anmeldedaten, aktiven Sitzungen und schließlich zu den privaten Schlüsseln der Hot Wallets zu erlangen.

Dieses Muster ist inzwischen erkennbar. Anfang des Monats wurden bei Kraken Kundendaten über eigene Supportmitarbeiter gestohlen. Auf der DeFi-Plattform Drift erbeuteten Angreifer durch monatelange Infiltration auf Konferenzen fast 300 Millionen Dollar. Und bei Obsidian wurden Krypto-Profis über LinkedIn kontaktiert, um bösartige Plugins zu installieren.

Der rote Faden: Nicht der Quellcode, sondern der Mensch ist das schwächste Glied.

KI macht die Täuschungsmanöver glaubwürdiger

Was diesen Angriff auszeichnet, ist der Einsatz von KI. Laut Zerion nutzten die Hacker KI, um überzeugendere Phishing-Nachrichten zu erstellen und Bildmaterial zu manipulieren. Das Cybersicherheitsunternehmen Mandiant, eine Tochtergesellschaft von Google, bestätigt, dass nordkoreanische Gruppen gefälschte Videokonferenzen über Zoom nutzen, bei denen KI-Tools Bilder bearbeiten, um den Angreifer glaubwürdiger erscheinen zu lassen.

Die Sicherheitsorganisation SEAL blockierte zwischen Februar und April 164 schädliche Domains, die mit der nordkoreanischen Hackergruppe UNC1069 in Verbindung stehen. Diese Gruppe führt langfristige Kampagnen über Telegram, LinkedIn und Slack durch, bei denen sich Angreifer als vertrauenswürdige Kontakte ausgeben.

Nordkorea schon seit Jahren im Kryptobereich aktiv

Die Bedrohung ist nicht neu. Laut MetaMask-Entwickler Taylor Monahan infiltrieren nordkoreanische IT-Arbeiter seit Jahren Kryptounternehmen und DeFi-Projekte. Das Blockchain-Analyseunternehmen Elliptic stellt fest, dass nicht nur große Plattformen, sondern auch einzelne Entwickler und Mitarbeiter mit Systemzugang ein Ziel darstellen.

Im Jahr 2025 erbeuteten nordkoreanische Hackergruppen schätzungsweise mehr als 2 Milliarden Dollar im Kryptosektor. Auch im aktuellen Jahr geht es im gleichen Tempo weiter.

Immer schwerer zu erkennen

Die rasante Entwicklung von KI macht es zunehmend schwieriger, echte Kommunikation von Betrug zu unterscheiden. Ein Videoanruf kann schon eine Täuschung sein. Eine LinkedIn-Nachricht könnte von einem Hacker stammen. Ein vertrauter Kontakt ist möglicherweise ein gehacktes Konto.

Für Krypto-Unternehmen ist die Erkenntnis eindeutig: Technische Sicherheit allein reicht nicht mehr aus. Mitarbeiterschulungen, strenge Zugriffskontrollen und gesunde Skepsis bei jedem externen Kontakt werden genauso wichtig wie Firewalls und Verschlüsselung.