Die Analyse eines ungewöhnlichen Vorfalls verschafft Sicherheitsexperten einen seltenen Blick in die Operationsbasis nordkoreanischer Hacker: Der Infostealer Lumma Stealer, normalerweise gegen Opfer eingesetzt, infizierte diesmal den Rechner eines mutmaßlichen nordkoreanischen Operators. Laut Hudson Rock war die Maschine Teil der Infrastruktur eines Angriffs auf die Kryptobörse Bybit, bei dem rund 1,4 Mrd. US‑Dollar in Kryptowährungen kompromittiert wurden.
Wie Lumma Stealer die Infrastruktur des Bybit-Angriffs offenlegte
Lumma Stealer ist ein Malware-Typ aus der Klasse der Infostealer. Er sammelt automatisiert Browser-Passwörter, Cookies, AutoFill-Daten, Zugangsdaten zu Kryptowallets und andere sensible Informationen von infizierten Systemen. Die von Hudson Rock ausgewerteten Stealer-Logs zeigten, dass unter den Opfern eine Arbeitsstation stand, die klar nordkoreanischer Cyberaktivität zuzuordnen ist.
In den abgeflossenen Daten tauchte die E‑Mail-Adresse [email protected] auf. Dieser Identifikator war zuvor von Silent Push analysiert und mit Infrastruktur in Verbindung gebracht worden, die im Rahmen des Angriffs auf Bybit genutzt wurde. Unter dieser Adresse registrierten die Täter den Domainnamen bybit-assessment.com, nur wenige Stunden vor dem Einbruch in die Börse im Februar 2025. Die Domain diente als Phishing-Seite, die das Interface von Bybit imitierte, Anmeldedaten abgriff und mutmaßlich den Download weiterer Schadsoftware anstieß.
Der Vorfall fügt sich in bekannte Muster nordkoreanischer APT-Gruppen wie Lazarus ein. Diese setzen laut öffentlichen Analysen (u. a. Chainalysis und US-CERT) systematisch auf Ketten aus Phishing-Domains, gefälschten Login-Seiten und manipulierten Wallet- oder Trading-Apps, um sich Zugriff auf Vermögenswerte zu verschaffen. Seit 2017 sollen nordkoreanische Akteure so Kryptowährungen im Wert mehrerer Milliarden US‑Dollar erbeutet haben.
Technisches Profil der kompromittierten Hacker-Workstation
Die von Lumma kompromittierte Maschine war eine leistungsfähige Windows-Arbeitsstation mit einem Intel Core i7 der 12. Generation und 16 GB RAM. Installiert waren unter anderem Visual Studio Professional 2019 und das Tool Enigma Protector, das üblicherweise zum „Packen“ von Executables, zur Erschwerung von Reverse Engineering und zum Umgehen von Antiviren-Erkennung eingesetzt wird. Diese Kombination deutet klar auf ein System hin, das als Entwicklungs- und Operationsplattform für Malware genutzt wurde.
Weitere Artefakte zeichnen ein differenziertes Bild der Umgebung: Der Datenverkehr lief über Astrill VPN mit Exit-IP in den USA; im Browser war vereinfachtes Chinesisch als Anzeigesprache gewählt, während die Übersetzungshistorie zahlreiche Suchanfragen in Koreanisch enthielt. Die Struktur eines verknüpften Dropbox-Kontos legt nahe, dass das Cloudspeicher-System zum Ablegen und späteren Abrufen gestohlener Daten diente. Solche gemeinsam genutzten Infrastruktur-Assets – wiederverwendete VPN-Accounts, Workstations und Cloud-Konten – sind bei staatlich gesteuerten APTs verbreitet, erhöhen aber das Risiko einer vollständigen Enttarnung bei Kompromittierung nur eines einzigen Glieds.
Phishing-Domains und gefälschte Zoom-Installer als Social-Engineering-Werkzeug
Die Lumma-Logs belegten zudem den Aufbau einer weitergehenden Phishing-Infrastruktur. Registriert wurden die Domains callapp.us und callservice.us sowie der Subdomain zoom.callapp.us. Das Muster entspricht typischen Social-Engineering-Kampagnen: Zielpersonen erhalten vermeintlich legitime Links zu „Zoom-Updates“ oder „Corporate Call Apps“. Hinter der täuschend echt gestalteten Oberfläche verbirgt sich ein manipulierter Installer, der Schadsoftware nachlädt.
Der lokale IP-Bereich des gefälschten Zoom-Installers ließ sich laut Hudson Rock direkt auf dieselbe kompromittierte Workstation zurückführen. Damit werden die Phishing-Domains, der Bybit-bezogene Phishing-Domainname und der Entwicklerrechner technisch zu einem konsistenten Angriffsökosystem verknüpft.
Nordkoreanische APTs unter Beobachtung: Lazarus, Kimsuky & Co.
Wiederkehrende OPSEC-Fehler und öffentliche Leaks
Die Nutzung von Astrill VPN in diesem Kontext ist kein Einzelfall. Bereits 2025 dokumentierte der Forscher Mauro Eldritch Kampagnen, in denen nordkoreanische Gruppen sich als Bewerber für westliche IT-Stellen ausgaben und denselben VPN-Dienst zur Verschleierung ihrer Herkunft nutzten. Solche wiederkehrenden Tool-Präferenzen erleichtern die Attribution und Korrelation von Vorfällen.
Der aktuelle Fall ist zudem nicht die erste bekannte Kompromittierung nordkoreanischer Operatoren. Im legendären E‑Zine Phrack erschien 2025 die Analyse „APT Down: The North Korea Files“, in der die Hacking-Gruppe Kimsuky (auch APT43/Thallium) im Detail seziert wurde. Grundlage war der erfolgreiche Zugriff auf das System eines Gruppenmitglieds, der Einblick in Taktiken, Techniken und Prozeduren (TTPs) sowie gravierende Fehler in der eigenen Operationssicherheit gab. Solche Leaks liefern Verteidigern wertvolle Cyber-Threat-Intelligence, um Erkennungsregeln, Hunting-Queries und Indikatoren für Kompromittierung (IoC) zu verfeinern.
Konsequenzen für Verteidiger: Angreiferfehler systematisch ausnutzen
Für Sicherheitsverantwortliche zeigt der Lumma-Vorfall exemplarisch, dass selbst gut ausgestattete staatliche APT-Gruppen denselben Risiken ausgesetzt sind wie ihre Ziele: Infostealer, schwache OPSEC und übermäßig zentralisierte Infrastruktur. Jede erfolgreiche Kompromittierung eines Angreifers kann – bei sorgfältiger Auswertung – zur Quelle für signifikante Verteidigungsverbesserungen werden, etwa durch Anreicherung von SIEM-Use-Cases, EDR-Regeln und Blocklisten für verdächtige Domains.
Organisationen sollten diese Erkenntnisse in eine threat-informed defense überführen, etwa auf Basis des MITRE-ATT&CK-Frameworks. Dazu gehören: engmaschiges Monitoring auffälliger Logins und VPN-Nutzung, Segmentierung kritischer Systeme, konsequente Mehrfaktor-Authentifizierung, Minimierung von Passwort- und Account-Wiederverwendung, striktes Whitelisting von Software und die Priorisierung neu registrierter Domains in E‑Mail- und Webfiltern. Ebenso wichtig ist die regelmäßige Auswertung öffentlicher APT-Reports, um Verteidigungsmaßnahmen an real beobachtete Techniken von Gruppen wie Lazarus und Kimsuky anzupassen.
Die Geschichte des kompromittierten nordkoreanischen Hacker-PCs unterstreicht, dass mangelhafte Cyberhygiene und zentralisierte Infrastruktur jede Seite verwundbar machen – Angreifer wie Verteidiger. Wer kontinuierlich aus offen gelegten Angriffsfehlern lernt, seine Sicherheitsarchitektur anpasst und Personal für moderne Social-Engineering-Methoden sensibilisiert, erhöht nicht nur den eigenen Schutz, sondern erschwert APT-Gruppen weltweit nachhaltig das operative Vorgehen.
