Nordkoreas Hacker nutzen KI für Angriffe auf Blockchain-Entwickler

Eine neue Cyber-Spionagekampagne setzt erstmals KI-generierte Malware ein, um Kryptoinfrastrukturen zu kompromittieren. Die als KONNI bekannte nordkoreanische Gruppe hat ihre Taktik verfeinert und kombiniert gezieltes Social Engineering mit künstlich intelligenter Code-Erstellung. Das Ziel: Entwickler in der Blockchain-Branche.

KI-generierter Code tarnt sich als legitimes Skript

Sicherheitsforscher von Check Point Research (CPR) haben die Kampagne Ende letzter Woche detailliert analysiert. Im Zentrum steht ein mit KI erzeugter PowerShell-Backdoor. Der Schadcode mit dem Namen zVJs.ps1 fällt durch eine ungewöhnlich saubere Struktur auf – mit lesbaren Kommentaren und logischer Segmentierung, wie sie typisch für die Ausgabe von großen Sprachmodellen (LLMs) ist.

Viele Unternehmen sind auf neue, KI-gestützte Angriffe nicht vorbereitet – besonders Entwickler in Web3‑Projekten. Ein aktueller Gratis‑Report erklärt die neuesten Bedrohungstrends, typische Angriffspfade (z. B. Discord‑Links, manipulierte LNK/CAB‑Dateien und PS1‑Loader) und konkrete Maßnahmen, mit denen Sie EDR, PowerShell‑Monitoring und Datei‑Restriktionen wirksam stärken. Ideal für IT‑Verantwortliche und Sicherheitsteams in Krypto‑ und Blockchain‑Firmen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Genau das macht ihn so gefährlich. „Diese saubere Codierung hilft der Malware, sich in legitimen Entwicklungsumgebungen zu tarnen“, erklärt ein Analyst. Herkömmliche, signaturbasierte Erkennungssysteme, die oft auf verschleierten oder chaotischen Code anspringen, werden so umgangen. Der Schadcode verfügt zudem über ausgeklügelte Fähigkeiten: Er nutzt arithmetische Zeichenkodierung zur Verschleierung und erkennt Analyse-Tools wie Wireshark. Wird eine solche Überwachungsumgebung erkannt, beendet sich das Skript selbst, um eine Untersuchung zu vereiteln.

Angriffsweg über Discord und manipulierte Links

Die Infektionskette nutzt die kollaborative Natur der Blockchain-Branche schamlos aus. Wie Bleeping Computer am 24. Januar berichtete, beginnt der Angriff mit einem Link, der über den Kommunikationsdienst Discord verteilt wird. Dieser führt zu einem ZIP-Archiv, das ein Lockvogel-PDF und eine schädliche Windows-Verknüpfung (LNK-Datei) enthält.

Öffnet ein Opfer diese Datei, startet ein mehrstufiger Prozess:
1. Ein PowerShell-Loader wird ausgeführt.
2. Dieser extrahiert ein DOCX-Dokument als Köder und ein CAB-Archiv mit der eigentlichen Nutzlast.
3. Der KI-generierte Backdoor wird installiert, zusammen mit Batch-Dateien für Persistenz.
4. Die Malware nutzt eine bekannte Schwachstelle in der Benutzerkontensteuerung (UAC-Bypass via fodhelper.exe), um höhere Berechtigungen zu erlangen.

Die Köderdokumente imitieren akribisch echte Projektunterlagen – mit technischen Spezifikationen, Budgets und Zeitplänen für Blockchain‑Vorhaben. Dies deutet auf eine gründliche Zielrecherche der Angreifer hin, um die Glaubwürdigkeit zu erhöhen.

Strategische Wende: Von Spionage zu finanzieller Bereicherung

Die KONNI-Gruppe, auch als Opal Sleet oder TA406 bekannt, konzentrierte sich lange auf diplomatische und Regierungsziele in Südkorea. Diese Kampagne markiert eine klare strategische Wende. Erkenntnisse aus Januar 2026 zeigen, dass die Gruppe nun aktiv Opfer in der gesamten asiatisch-pazifischen Region (APAC) angreift, mit bestätigten Aktivitäten in Japan, Australien und Indien.

Das primäre Ziel ist finanzieller Natur. Durch die Kompromittierung von Entwicklungsumgebungen wollen die Hacker sensible Assets stehlen: API-Zugangsdaten, private Wallet-Schlüssel und Zugang zu DeFi-Infrastrukturen (Decentralized Finance). Dies passt zum Verhaltensmuster nordkoreanischer staatlicher Akteure, die zunehmend auf Kryptodiebstahl setzen, um Staatsaktivitäten zu finanzieren.

Die Dimension ist gewaltig: Allein 2025 wurden Kryptodienstleistern Berichten zufolge über 2,17 Milliarden US-Dollar gestohlen, vor allem durch raffinierte Angriffe auf Cross-Chain-Bridges und Entwicklungsinfrastruktur. Der Wechsel zu KI-unterstützten Werkzeugen zeigt, dass diese Gruppen ihre Operationen beschleunigen und ihre Erfolgsquote steigern wollen.

Neue Herausforderungen für die Cybersicherheit

Die Integration von KI in den Malware-Entwicklungszyklus stellt Verteidiger vor neue Probleme. Herkömmliche Indikatoren für Kompromittierungen (IoCs) könnten an Wirkung verlieren, wenn Angreifer KI nutzen, um Code schnell umzuschreiben und Signaturen zu ändern.

Die „saubere“ Natur KI-generierten Codes erschwert die Unterscheidung von legitimen Administrationsskripten. Sicherheitsfirmen raten Organisationen, besonders im Web3-Bereich, ihre Endpoint Detection and Response (EDR)-Fähigkeiten auszubauen. Empfohlen werden:
* Strengere Überwachung von PowerShell-Ausführungen.
* Deaktivierung des Einbindens von ISO-/CAB-Dateien aus nicht verifizierten Quellen.
* Sensibilisierung von Entwicklern für die Risiken beim Ausführen von Dateien aus Discord oder ähnlichen Kollaborationsplattformen.

Die KONNI-Kampagne ist eine kritische Warnung: Bedrohungsakteure setzen KI-Werkzeuge bereits erfolgreich ein. Mit der Reifung dieser Fähigkeiten sinkt die Einstiegshürde für raffinierte, schwer erkennbare Malware – und erfordert eine entsprechende Evolution der Verteidigungsstrategien.

Ausblick: KI wird zum Standardwerkzeug für Angreifer

Analysten prognostizieren, dass der Einsatz von KI durch Advanced Persistent Threat (APT)-Gruppen noch 2026 zur Standardpraxis werden wird. Die Automatisierung der Erstellung einzigartiger, funktionaler Malware-Varianten erlaubt es Angreifern, ihre Kampagnen zu skalieren und dabei unauffällig zu bleiben.

Nach der Aufdeckung dieser Kampagne aktualisieren Sicherheitsanbieter ihre Erkennungsmechanismen, um die spezifischen Verhaltensmuster der KI-generierten Skripte zu identifizieren. Doch das Katz-und-Maus-Spiel dürfte sich verschärfen, wenn Angreifer ihre Prompts und Modelle verfeinern, um noch widerstandsfähigere Malware-Stämme zu produzieren. Die Blockchain-Branche mit ihrer hohen Konzentration liquider Mittel wird in den kommenden Monaten ein primäres Ziel für diese KI-unterstützten Operationen bleiben.

PS: Sie arbeiten in einem Web3‑Team und wollen Angriffsvektoren wie manipulierte LNK/CAB‑Downloads und Social‑Engineering‑Kampagnen entschärfen? Der Gratis‑Leitfaden liefert praxisnahe Checklisten und vier sofort umsetzbare Schritte, um Phishing abzuwehren, PowerShell‑Ausführungen zu überwachen und Entwickler effektiv zu schulen — ohne teure Komplettlösungen. Holen Sie sich die Sofortmaßnahmen für Ihr Security‑Playbook. Gratis‑Leitfaden zur Cyber‑Security jetzt sichern