UNC1069: Nordkoreas Hacker setzen KI für FinTech-Angriffe ein

Nordkoreanische Staatshacker nutzen jetzt künstliche Intelligenz für gezielte Attacken auf Finanzunternehmen. Eine neue Analyse enthüllt komplexe Angriffsketten, die Social Engineering mit bisher unbekannter Schadsoftware kombinieren. Das Ziel: der Diebstahl sensibler Daten und Kryptowährungen.

Deepfakes und kompromittierte Kontakte: So läuft der Angriff ab

Die Hackergruppe UNC1069 hat ihre Methoden erheblich verfeinert. Ein aktueller Vorfall bei einem Kryptowährungsunternehmen zeigt das neue Vorgehen. Der Angriff begann über ein gehacktes Telegram-Konto einer bekannten Branchengröße. Nach dem Aufbau einer Vertrauensbasis schickten die Angreifer einen Link für ein angebliches Videomeeting.

Doch der Link führte auf eine gefälschte Zoom-Website. Während des Gesprächs wurde dem Opfer ein Video eines angeblichen CEOs vorgespielt. Das Opfer berichtete später von möglichen Deepfake-Inhalten – ein klarer Hinweis auf den Einsatz von KI für täuschend echte, gefälschte Videos. Diese Täuschung senkt die natürliche Skepsis der Opfer erheblich.

Passend zum Thema Social Engineering und Deepfakes: Viele Angriffe beginnen mit harmlos wirkenden Links oder kompromittierten Kontakten – genau wie in diesem Fall. Das kostenlose Anti-Phishing-Paket erklärt in 4 praxisnahen Schritten, wie Sie CEO-Fraud, gefälschte Meeting-Links und KI-generierte Deepfakes erkennen, Mitarbeitende schulen und Verifizierungsprozesse einführen. Enthält Checklisten und konkrete Abwehrmaßnahmen für Finanz- und Krypto-Firmen. Anti-Phishing-Paket jetzt herunterladen

Drei neue Spionage-Tools im Einsatz

Bei der Analyse des Angriffs identifizierten Sicherheitsexperten von Mandiant insgesamt sieben verschiedene Schadprogramme. Besonders alarmierend: Drei davon waren völlig neu und bisher undokumentiert. Die Forscher tauften sie SILENCELIFT, DEEPBREATH und CHROMEPUSH.

Diese Werkzeuge sind darauf spezialisiert, systematisch Zugangsdaten, Browser-Historien und aktive Sitzungen auszuspähen. Mit diesen Informationen können sich die Hacker tief in Unternehmensnetzwerke graben, weitere Systeme übernehmen und unbemerkt Transaktionen vorbereiten. Einige der Schadprogramme sichern sich zudem dauerhaften Zugriff, indem sie sich bei jedem Systemstart neu aktivieren.

KI wird zur operativen Waffe

Der Einsatz von KI markiert eine strategische Wende für nordkoreanische Hacker. Bereits im November 2025 hatte Googles Threat Intelligence Group dokumentiert, dass UNC1069 KI aktiv in ihre Operationen integriert. Der jetzige Fall bestätigt diesen Trend eindrücklich.

Bislang nutzten staatliche Akteure KI vor allem, um Phishing-E-Mails schneller zu produzieren oder Code zu entwickeln. Jetzt kommt die Technologie in aktiven Täuschungsmanövern zum Einsatz. Die Kombination aus Social Engineering, gehackten Konten und KI-generierten Inhalten schafft eine neue Bedrohungsqualität. Selbst geschulte Mitarbeiter haben es schwer, diese Angriffe zu erkennen.

Hintergrund: Cyberangriffe als Staatsfinanzierung

Gruppen wie UNC1069 oder die berüchtigte Lazarus-Gruppe handeln nicht aus eigener Bereicherung. Sie gelten als wichtige Einnahmequelle für das international isolierte Regime in Pjöngjang. Die erbeuteten Gelder – oft hunderte Millionen Euro – fließen mutmaßlich in nordkoreanische Rüstungs- und Atomprogramme.

Die zunehmende Professionalisierung und der Einsatz von Spitzentechnologie sind eine logische Konsequenz dieser Motivation. Für FinTechs und Krypto-Unternehmen, die digitale Werte verwalten, steigt das Risiko exponentiell. Die Angreifer sind hochmotiviert, gut finanziert und technologisch immer einen Schritt voraus.

Was bedeutet das für die Cybersicherheit?

Der Vorfall ist ein Weckruf für die gesamte Finanzbranche. KI-gestützte Cyberangriffe sind keine Zukunftsvision mehr, sondern akute Realität. Unternehmen müssen ihre Sicherheitsstrategien dringend anpassen.

Das erfordert Investitionen in fortschrittliche Threat-Intelligence-Lösungen, die ungewöhnliche Muster früh erkennen. Noch wichtiger wird die Mitarbeitersensibilisierung. Angesichts überzeugender Deepfakes müssen Angestellte lernen, subtile Betrugszeichen zu identifizieren und strikte Verifizierungsprozesse für jede Kommunikation einzuhalten. Der Wettlauf zwischen Angreifern und Verteidigern hat eine neue, gefährlichere Stufe erreicht.

PS: Wenn Sie Ihre Organisation gegen immer raffiniertere, KI-basierte Täuschungen schützen möchten, ist ein kompakter Praxis-Plan hilfreich. Das Anti-Phishing-Paket fasst aktuelle Hacker-Methoden, psychologische Angriffsprofile und konkrete Abwehrschritte zusammen – inklusive Vorlagen für Verifizierungsprozesse und Mitarbeiterschulungen, speziell zugeschnitten auf Finanz- und Krypto-Unternehmen. Fordern Sie die kostenlose Anleitung an und stärken Sie Ihre erste Verteidigungslinie. Jetzt Anti-Phishing-Guide anfordern