UNC1069: Nordkoreanische Hacker setzen auf KI-gestützte Angriffe gegen Finanzbranche

Angriffskampagne mit sieben Malware-Familien

Sicherheitsforscher von Mandiant haben einen gezielten Cyberangriff untersucht, der sich gegen ein Unternehmen aus dem Kryptowährungssektor richtete. Die Attacke erfolgte durch UNC1069, eine seit 2018 aktive Gruppe mit mutmaßlichen Verbindungen nach Nordkorea. Der Vorfall zeichnet sich durch einen komplexen Angriffsablauf aus, bei dem kompromittierte Telegram-Konten, gefälschte Videokonferenzen und möglicherweise KI-generierte Videos zum Einsatz kamen.

Die Angreifer setzten dabei die neu identifizierten Werkzeuge SILENCELIFT, DEEPBREATH und CHROMEPUSH ein, um systematisch Zugangsdaten, Browserdaten und Sitzungsinformationen zu sammeln. Diese Entwicklung markiert eine Verschiebung in der Vorgehensweise von UNC1069, wie die Google Threat Intelligence Group bereits im November 2025 in ihrem AI Threat Tracker dokumentiert hatte. Die Gruppe nutzt KI-Technologien mittlerweile nicht mehr nur zur Produktivitätssteigerung, sondern integriert sie aktiv in ihre Operationen.

Grafik Quelle: Mandiant

Täuschung über kompromittierte Accounts

Der Erstkontakt zum Opfer erfolgte über einen gehackten Telegram-Account einer Führungskraft aus der Kryptowährungsbranche. Nach dem Beziehungsaufbau verschickten die Angreifer einen Calendly-Link zur Terminvereinbarung. Das vermeintliche Zoom-Meeting lief jedoch über eine gefälschte Infrastruktur unter der Domain zoom[.]uswe05[.]us.

Während des Gesprächs wurde dem Opfer ein Video präsentiert, das offenbar einen CEO eines anderen Kryptounternehmens zeigte. Nach Angaben des Geschädigten handelte es sich dabei um ein Deepfake. Obwohl Mandiant keine forensischen Beweise für den Einsatz von KI-Modellen in diesem Fall sichern konnte, ähnelt die Vorgehensweise einem zuvor öffentlich bekannt gewordenen Vorfall mit vergleichbaren Merkmalen.

ClickFix-Methode als Infektionsvektor

Die Angreifer simulierten während des gefälschten Videoanrufs Audioprobleme und forderten das Opfer auf, Fehlerbehebungsbefehle auszuführen – eine Technik, die als ClickFix bekannt ist. Die präsentierte Webseite enthielt separate Befehlssätze für macOS und Windows. In die Befehlsfolge war ein einzelner Befehl eingebettet, der die Infektionskette auslöste.

Nach Ausführung der Befehle startete ein AppleScript auf dem macOS-System des Opfers. Anschließend wurde WAVESHAPER installiert, eine gepackte Backdoor, die als Einstiegspunkt für weitere Schadsoftware diente. Über WAVESHAPER gelangten der Downloader HYPERCALL sowie zusätzliche Tools auf das System.

HYPERCALL kam während des Angriffs dreifach zum Einsatz: zur Ausführung der Backdoor HIDDENCALL für direkten Tastaturzugriff, zur Bereitstellung des Downloaders SUGARLOADER und zur Installation der Backdoor SILENCELIFT, die Systeminformationen an Kontrollserver übermittelt.

XProtect ermöglicht forensische Rekonstruktion

Die Sicherheitsforscher konnten den Angriffsablauf detailliert nachvollziehen, obwohl auf dem kompromittierten System keine Endpoint-Detection-Lösung installiert war. Möglich wurde dies durch Auswertung der XProtect-Datenbank, Apples integriertem Schutzmechanismus für macOS.

XProtect enthält neben signaturbasierter Erkennung auch den XProtect Behavioral Service (XBS) für verhaltensbasierte Analysen. Programme, die gegen definierte Verhaltensregeln verstoßen, werden in der XPdb-Datenbank protokolliert – inklusive Dateipfaden, Prüfsummen und Zeitstempeln. Diese Informationen ermöglichten die Rekonstruktion der Ereignisabfolge vom ersten Kompromittierungsversuch bis zur Bereitstellung der Schadsoftware, auch wenn einzelne Dateien bereits gelöscht waren.

Systematische Datenerfassung mit DEEPBREATH

DEEPBREATH ist ein in Swift programmierter Data Miner, der über HIDDENCALL auf das System gelangte. Die Schadsoftware manipuliert die TCC-Datenbank (Transparency, Consent, and Control) von macOS, um umfassenden Dateisystemzugriff zu erlangen.

Die Vorgehensweise erfolgt in mehreren Schritten: DEEPBREATH benennt zunächst den TCC-Ordner über die Finder-Anwendung um und kopiert die TCC.db-Datei an einen temporären Speicherort. Anschließend fügt das Programm Berechtigungen für zentrale Verzeichnisse wie Desktop, Dokumente und Downloads ein. Nach der Wiederherstellung der modifizierten Datenbank verfügt DEEPBREATH über vollständigen Dateizugriff.

Diese Technik funktioniert, weil die Finder-Anwendung über FDA-Berechtigungen (Full Disk Access) verfügt. DEEPBREATH extrahiert Zugangsdaten aus dem Schlüsselbund, Browser-Daten aus Chrome, Brave und Edge sowie Nutzerdaten aus Telegram und Apple Notes. Die gesammelten Informationen werden in einem temporären Ordner gespeichert, als ZIP-Archiv komprimiert und über curl auf einen externen Server übertragen.

CHROMEPUSH als Browser-Erweiterung

Über SUGARLOADER, einen bereits bekannten C++-basierten Downloader, installierten die Angreifer CHROMEPUSH auf dem System. Dieser Data Miner tarnt sich als Erweiterung für die Offline-Bearbeitung von Google Docs und richtet sich an Chromium-basierte Browser wie Google Chrome und Brave.

CHROMEPUSH etabliert Persistenz durch Installation als nativer Messaging-Host. Bei Google Chrome kopiert sich die Schadsoftware nach %HOME%/Library/Application Support/Google/Chrome/NativeMessagingHosts/Google Chrome Docs und erstellt die Manifestdatei com.google.docs.offline.json. Durch diese Methode startet CHROMEPUSH automatisch beim Browserstart.

Die Funktionalität umfasst die Aufzeichnung von Tastenanschlägen, Überwachung von Benutzernamen- und Passworteingaben sowie Extraktion von Browser-Cookies. Für SUGARLOADER wurde ein Persistenzmechanismus über einen Launch-Daemon eingerichtet, der die Schadsoftware beim Systemstart aktiviert. Die Konfiguration erfolgte über die Plist-Datei /Library/LaunchDaemons/com.apple.system.updater.plist.

Entwicklung der UNC1069-Taktiken

UNC1069 wird seit 2018 von Mandiant beobachtet und hat seine Methoden kontinuierlich weiterentwickelt. Seit mindestens 2023 verschob die Gruppe ihren Fokus von klassischen Spear-Phishing-Angriffen und traditionellen Finanzzielen hin zur Web3-Industrie. Zu den Zielen gehören zentralisierte Kryptobörsen, Softwareentwickler bei Finanzinstituten, Hightech-Unternehmen und Mitarbeiter von Risikokapitalfonds.

Im Jahr 2025 konzentrierte sich die Gruppe auf Finanzdienstleistungen und die Kryptowährungsbranche in den Bereichen Zahlungsverkehr, Brokerage, Staking und Wallet-Infrastruktur. Die Angreifer richten sich sowohl gegen Einzelpersonen im Web3-Sektor als auch gegen Unternehmensnetzwerke.

Bei dem untersuchten Vorfall fiel auf, dass ungewöhnlich viele Tools auf einen einzelnen Host abzielten, der einer einzelnen Person zugeordnet war. Dies deutet auf einen gezielten Angriff mit doppelter Zielsetzung hin: direkter Kryptowährungsdiebstahl und Sammlung von Identitäts- und Kontaktdaten für künftige Social-Engineering-Kampagnen.

Grafik Quelle: Mandiant

Integration von KI-Tools in Angriffsketten

Die Google Threat Intelligence Group berichtete, dass UNC1069 Tools wie Gemini zur Werkzeugentwicklung, operativen Recherche und Unterstützung während der Aufklärungsphase einsetzt. Kaspersky stellte zudem fest, dass Bluenoroff – ein Bedrohungsakteur mit Überschneidungen zu UNC1069 – GPT-4o-Modelle zur Bildbearbeitung verwendet.

Diese Entwicklungen zeigen die zunehmende Integration generativer KI-Technologien in den Angriffslebenszyklus nordkoreanischer Gruppen. Die Kombination aus kompromittierten Social-Media-Accounts, gefälschten Videokonferenzen und möglicherweise KI-generierten Videos erhöht die Erfolgsaussichten der Täuschungsmanöver erheblich.

Technische Details der Schadsoftware-Familien

WAVESHAPER ist eine in C++ programmierte und gepackte Backdoor für macOS. Sie lädt beliebige Payloads von Kontrollservern, die über Befehlszeilenparameter angegeben werden. Die Kommunikation erfolgt über die Curl-Bibliothek via HTTP oder HTTPS. WAVESHAPER läuft als Daemon im Hintergrund und sammelt Systeminformationen wie Benutzername, Maschinenname, Zeitzone, Startzeit, installierte Software, Hardwaremodell, CPU-Daten, Betriebssystemversion und laufende Prozesse.

HYPERCALL basiert auf Go und lädt dynamische Bibliotheken von Kontrollservern. Die Server-Adresse wird aus einer RC4-verschlüsselten Konfigurationsdatei extrahiert. Nach dem Download erfolgt das reflexive Laden der Bibliothek zur Ausführung im Arbeitsspeicher. Die Implementierung zeigt Parallelen zu SUGARLOADER, einschließlich der Verwendung externer Konfigurationsdateien und RC4-Verschlüsselung.

HIDDENCALL wird mit hoher Wahrscheinlichkeit als Komponente eines synchronisierten Angriffszyklus zusammen mit HYPERCALL eingesetzt. Forensische Analysen zeigten Code-Überschneidungen zwischen der HYPERCALL-Golang-Binärdatei und den Ahead-of-Time-Übersetzungsdateien von HIDDENCALL. Beide Familien verwenden identische Bibliotheken und folgen einer charakteristischen „t_“-Namenskonvention für Funktionen.

SILENCELIFT ist eine minimalistische C/C++-Backdoor, die Host-Informationen an fest codierte Kontrollserver sendet. Die Schadsoftware ruft eine eindeutige ID aus dem Dateipfad /Library/Caches/.Logs.db ab – derselbe Pfad, den auch CHROMEPUSH nutzt. SILENCELIFT erfasst zusätzlich den Status des Sperrbildschirms und kann bei Root-Rechten die Telegram-Kommunikation unterbrechen.

Implikationen für die Sicherheitslandschaft

Der Vorfall verdeutlicht die zunehmende Professionalität nordkoreanischer Hackergruppen. Die Kombination aus sieben verschiedenen Malware-Familien auf einem einzelnen System zeigt das Ausmaß der eingesetzten Ressourcen. Von den identifizierten Familien war SUGARLOADER die einzige, die Mandiant bereits zuvor bekannt war.

Die Manipulation von macOS-Sicherheitsmechanismen wie der TCC-Datenbank demonstriert fortgeschrittene Kenntnisse der Betriebssystem-Interna. Die Verwendung legitimer Systemfunktionen wie der Finder-Anwendung zur Umgehung von Schutzmaßnahmen erschwert die Erkennung durch traditionelle Sicherheitslösungen.

Für Unternehmen in der Kryptowährungsbranche bedeutet dies erhöhte Wachsamkeit bei unerwarteten Kontaktaufnahmen, selbst wenn diese von vermeintlich bekannten Personen stammen. Die Verifizierung von Identitäten über alternative Kommunikationskanäle wird zunehmend wichtiger, insbesondere bei Anfragen, die zur Ausführung von Befehlen oder Installation von Software führen sollen.

Lesen Sie mehr