Nordkoreanische Hacker haben eine neue Malware-Variante namens „Durian“ eingesetzt, um südkoreanische Kryptowährungsunternehmen anzugreifen.

Laut einem Bedrohungsbericht des Cybersicherheitsunternehmens Kaspersky vom 9. Mai verwendete die nordkoreanische Hackergruppe Kimsuky diese Malware bei gezielten Angriffen auf mindestens zwei Kryptowährungsunternehmen.

Die Angriffe wurden unter Ausnutzung legitimer Sicherheitssoftware durchgeführt, die ausschließlich von südkoreanischen Kryptofirmen verwendet wird. Die bisher nicht offengelegte Durian-Malware dient als Installationsprogramm und verteilt einen stetigen Strom von Spyware, darunter eine Hintertür namens „AppleSeed“, ein maßgeschneidertes Proxy-Tool namens LazyLoad und andere echte Programme wie Chrome Remote Desktop.

„Durian verfügt über umfassende Backdoor-Funktionen, die die Ausführung übermittelter Befehle, zusätzliche Dateidownloads und die Exfiltration von Dateien ermöglichen“, erklärte Kaspersky.

Darüber hinaus stellte das Cybersicherheitsunternehmen fest, dass LazyLoad auch von Andariel verwendet wurde, einer Unterorganisation des nordkoreanischen Hackerkonsortiums Lazarus Group, was auf eine „schwache“ Verbindung zwischen Kimsuky und der berüchtigteren Hackerorganisation hindeutet.

Seit ihrem ersten Auftauchen im Jahr 2009 hat sich Lazarus zu einer der berüchtigtsten Hackergruppen für Kryptowährungen entwickelt.

Am 29. April berichtete ZachXBT, ein unabhängiger Blockchain-Ermittler, dass das Unternehmen Lazarus zwischen 2020 und 2023 erfolgreich über 200 Millionen Dollar an unrechtmäßig erworbener Kryptowährung gewaschen habe.

Im Mai veröffentlichte der Sicherheitsrat der Vereinten Nationen einen Bericht, der auf Nordkoreas zunehmende Beteiligung an Cyberangriffen hinweist, die mittlerweile fast die Hälfte seiner Deviseneinnahmen ausmachen. Obwohl die Ermittlungen noch andauern, wird die Lazarus Group verdächtigt, im Laufe von sechs Jahren bis 2023 Kryptowährungsvermögen im Wert von über 3 Milliarden Dollar gestohlen zu haben.

Das könnte Sie auch interessieren: Hacker der Lazarus Group führen neue Methode für Cyberangriffe ein

Lazarus wurde beschuldigt, im Jahr 2023 mehr als 17 % – oder etwas mehr als 300 Millionen Dollar – aller gestohlenen Gelder gestohlen zu haben. Laut einer am 28. Dezember veröffentlichten Analyse von Immunefi gingen im Jahr 2023 durch Angriffe und Exploits Kryptowährungen im Wert von über 1,8 Milliarden Dollar verloren.

Die berüchtigte Gruppe Lazarus soll bei ihren Operationen in großem Umfang Krypto-Mixer einsetzen, um die Herkunft gestohlener Gelder zu verschleiern. Da weiterhin Bedenken hinsichtlich der Geldwäsche über Datenschutzprotokolle bestehen, hat Railgun, ein beliebtes Protokoll, Vorwürfe zurückgewiesen, es werde von nordkoreanischen Hackern oder sanktionierten Personen verwendet.

Die Behauptungen kamen ans Licht, nachdem das FBI im Januar 2023 eine Erklärung abgegeben hatte, in der es hieß, die nordkoreanische Lazarus Group habe nach einem Cyberangriff im Juni 2022 Ethereum im Wert von über 60 Millionen US-Dollar über Railgun gewaschen.

Nach den US-Sanktionen gegen den beliebten Krypto-Mixer Tornado Cash gab es Spekulationen, dass Railgun eine bevorzugte Alternative für solche Operationen werden könnte.

Weiterlesen: Ist die Lazarus Group die größte Bedrohung für Kryptowährungen in diesem Bullenmarkt?