Seit April 2025 beobachtet Kaspersky zwei neue Kampagnen der mutmaßlich zu Lazarus gehörenden Gruppe BlueNoroff: GhostCall und GhostHire. Im Fokus stehen Krypto- und Web3-Unternehmen in Indien, der Türkei, Australien sowie mehreren Ländern Europas und Asiens. Die Angreifer kombinieren präzises Spear-Phishing mit mehrstufigen macOS-Loadern, um digitale Vermögenswerte und Zugangsdaten zu kompromittieren.
BlueNoroff, SnatchCrypto und der strategische Fokus auf Entwickler
BlueNoroff wird seit Jahren mit Angriffen auf Krypto-Börsen, DeFi-Services und Blockchain-Projekte in Verbindung gebracht und gilt als Ableger der nordkoreanischen Lazarus-Struktur. Die aktuellen Aktivitäten erweitern die bekannte Kampagne SnatchCrypto und verlagern den Schwerpunkt auf die Komprimitierung von Blockchain-Entwicklern und Führungskräften. Genutzt werden modulare Schadprogramme und spezialisierte Loader, die es erlauben, Zugriffe zu persistieren, Berechtigungen auszuweiten und Assets gezielt zu exfiltrieren.
Initialzugang: Telegram, gefälschte Zoom/Teams-Calls und Identitätsmissbrauch
Der Erstkontakt erfolgt typischerweise über Telegram, wobei sich die Täter als VCs oder Headhunter ausgeben. In einzelnen Fällen werden kompromittierte Accounts realer Unternehmer eingesetzt, was die Glaubwürdigkeit erhöht. Opfer werden auf täuschend echte Seiten gelockt, die Zoom oder Microsoft Teams imitieren. Unter dem Vorwand eines „Audio-Fix“ wird ein vermeintliches Update angestoßen, das tatsächlich Skripte und macOS-Malware nachlädt.
Besonders perfide: Laut Kaspersky nutzen die Angreifer vorab aufgezeichnete Videosequenzen mit früheren Opfern, um Live-Interaktion zu simulieren. Darüber hinaus werden aus vertrauenswürdigen Kontakten gewonnene Daten zur Ausweitung auf die Lieferkette eingesetzt – ein Muster, das in der Praxis immer häufiger zu Kaskadeneffekten führt (vgl. ATT&CK-Techniken wie T1566 Spearphishing und T1195/Lieferkettenangriffe in öffentlich verfügbaren Berichten von Kaspersky, ESET, CISA und MITRE).
GhostCall vs. GhostHire: geteilte Infrastruktur, unterschiedliche Einstiegsvektoren
GhostCall: Entwickler im Fadenkreuz
Für GhostCall dokumentiert Kaspersky sieben mehrstufige Infektionsketten, vier davon bisher unbekannt. Zielgruppe sind Blockchain-Entwickler. Als „Recruiter“ tarnen sich die Täter und übermitteln „Testaufgaben“, die über GitHub-Repositories bereitgestellt werden. Der Code enthält getarnte Loader, die nach Ausführung weitere Module nachladen – ein klassischer User-Execution-Pfad (ATT&CK T1204), der mit Code-Signing- und EDR-Evasion-Techniken kombiniert wird.
GhostHire: gefälschte Jobs, Zeitdruck und ZIP-Fallen
GhostHire setzt anstelle von Video-Calls auf Fake-Stellenanzeigen. Über einen Telegram-Bot erhalten Kandidaten ZIP-Archive oder GitHub-Links. Mittels künstlichem Zeitdruck sollen Sicherheitsprüfungen umgangen werden. Ergebnis ist die Infektion von macOS-Systemen mit Modulen zur Diebstahl von Kryptowährungen, Secrets sowie Browser- und Telegram-Credentials – TTPs, die in Analysen zu Lazarus-nahen Kampagnen über Jahre konsistent beschrieben sind.
Generative KI als Entwicklungsbeschleuniger für Malware
Kaspersky GReAT weist darauf hin, dass BlueNoroff generative KI für schnellere R&D-Zyklen nutzt. Neue Sprachen und zusätzliche Funktionen erschweren statische und verhaltensbasierte Analysen, erhöhen die Zielgenauigkeit und erlauben ein zügiges Anpassen der Taktiken nach Entdeckung. Für Verteidiger bedeutet das: Indikatoren ändern sich schneller, Verhaltens-Detektion und Telemetrie auf macOS werden noch wichtiger.
Prävention und Detektion: priorisierte Maßnahmen für Krypto- und Web3-Unternehmen
Gegenparteien verifizieren: Identitäten von „Investoren“ oder „Recruitern“ stets über einen zweiten, verifizierten Kanal und offizielle Domains bestätigen. Links zu „Client-Updates“ oder Meetings aus Chats konsequent ignorieren.
Software-Härtung auf macOS: MDM/Profile einsetzen, um unsignierte oder nicht notarized Apps zu blockieren; Installationsquellen auf Apple bzw. verifizierte Vendoren begrenzen; Gatekeeper und SIP strikt durchsetzen.
Sichere Entwicklungsumgebungen: „Testaufgaben“ und Fremdcode nur in isolierten, kurzlebigen Umgebungen (VMs/Container) ohne Tokens, Wallets oder Produktionszugänge ausführen. Prinzip minimaler Rechte und Secret-Management etablieren.
Erkennung und Reaktion: Links in Telegram automatisch prüfen, Phishing-Domains für Zoom/Teams blockieren, EDR/XDR mit macOS-Telemetrie und Verhaltensanalytik betreiben. Anomalien bei Wallet-Transaktionen und Zugriffsabweichungen kontinuierlich auditieren.
Identitäten und Assets absichern: FIDO2-Hardware-Keys für SSO, MFA erzwingen, Wallets segmentieren und Recovery-Prozesse testen. Regelmäßige Tabletop-Übungen zur Incident Response erhöhen die Resilienz.
GhostCall und GhostHire verdeutlichen, wie effektiv die Kombination aus Social Engineering und modularer macOS-Malware im Krypto-Umfeld ist. Organisationen sollten Verifikationsprozesse, Software-Policies und isolierte Dev-Workflows jetzt nachschärfen. Wer frühzeitig Quelle, Identität und Ausführungskontext kontrolliert und auf mehrschichtige Authentifizierung plus verhaltensbasierte Detektion setzt, senkt das Risiko von Kompromittierungen und den Verlust digitaler Vermögenswerte deutlich.
