Nordkoreanische Hacker setzen KI-gesteuerte Social Engineering-Angriffe gegen Zerion ein

Zerion gab bekannt, dass nordkoreanisch verbundene Hacker letzte Woche KI-gesteuerte Social-Engineering-Techniken nutzten, um etwa 100.000 US-Dollar aus den Hot Wallets des Unternehmens zu entwenden. In einer am Mittwoch veröffentlichten Analyse bestätigte der Krypto-Wallet-Anbieter, dass keine Nutzerguthaben, Zerion-Apps oder Infrastruktur kompromittiert wurden, und deaktivierte vorsorglich proaktiv die Web-App.

Obwohl der Betrag nach Krypto-Hacking-Standards bescheiden ist, unterstreicht Zerions Offenlegung einen wachsenden Trend: Angreifer zielen zunehmend mit KI-gesteuerten Techniken auf menschliche Betreiber ab. Der Vorfall reiht sich ein in eine aufsehenerregende Episode Anfang des Monats – einen 280-Millionen-Dollar-Exploit von Drift Protocol, der einer nordkoreanisch verbundenen Operation zugeschrieben wird – und veranschaulicht einen breiteren Wandel in der Vorgehensweise von Bedrohungsakteuren gegen Kryptofirmen. Die menschliche Ebene, nicht Firmware oder Smart Contracts, ist zum primären Einstiegspunkt für Einbrüche in Krypto-Umgebungen geworden.

Wichtigste Erkenntnisse

• KI-gesteuerte Social-Engineering-Angriffe entwickeln sich zum Hauptangriffsvektor für DVRK-verbundene Akteure, die auf Insider abzielen, anstatt allein Code-Fehler auszunutzen.
• Der Zerion-Vorfall betraf den Zugriff auf angemeldete Sitzungen von Teammitgliedern, Anmeldedaten und private Schlüssel in Hot Wallets, was eine Schwachstelle im Identitäts- und Zugriffsmanagement unterstreicht.
• Dieselbe Bedrohungsgruppe ist mit einem breiteren Muster lang andauernder Kampagnen verbunden, die vertrauenswürdige Kontakte und Marken über gängige Kollaborationskanäle wie Telegram, LinkedIn und Slack imitieren.
• Branchenforscher haben ein wachsendes Instrumentarium dokumentiert: gefälschte virtuelle Meetings, KI-unterstützte Bild- und Videobearbeitung sowie andere täuschende Taktiken, die die Hürden für Social Engineering senken.
• Sicherheitsanalysten warnen, dass sich die Bedrohung weit über Börsen hinaus auf Entwickler, Mitwirkende und jeden mit Zugang zur Krypto-Infrastruktur erstreckt.

KI verändert die Bedrohungslandschaft

Der Zerion-Vorfall verdeutlicht einen Wandel in der Art und Weise, wie Sicherheitsverletzungen in Krypto-Ökosystemen ablaufen. Zerion erklärte, dass der Angreifer Zugriff auf angemeldete Sitzungen einiger Teammitglieder, Anmeldedaten und private Schlüssel für Hot Wallets erhielt. Das Unternehmen beschrieb den Vorfall als KI-gesteuerte Social-Engineering-Operation, was darauf hindeutet, dass künstliche Intelligenz-Tools eingesetzt wurden, um Phishing-Nachrichten, Imitationen und andere manipulative Techniken zu verfeinern.

Diese Einschätzung stimmt mit früheren Erkenntnissen von Branchenforschern überein, die beobachtet haben, wie DVRK-verbundene Gruppen ihre Social-Engineering-Strategien schärfen. Insbesondere berichtete Security Alliance (SEAL), dass sie über einen Zeitraum von zwei Monaten von Februar bis April 164 Domains, die mit UNC1069 in Verbindung stehen, verfolgt und blockiert haben, und stellten fest, dass die Gruppe mehrwöchige Kampagnen mit geringem Druck über Telegram, LinkedIn und Slack durchführt. Die Akteure imitieren bekannte Kontakte oder seriöse Marken oder nutzen den Zugriff auf zuvor kompromittierte Konten, um Vertrauen aufzubauen und den Zugriff zu erweitern.

Googles Sicherheitsabteilung Mandiant hat den sich entwickelnden Arbeitsablauf der Gruppe detailliert beschrieben, einschließlich des dokumentierten Einsatzes gefälschter Zoom-Meetings und KI-unterstützter Bearbeitung von Bildern oder Videos während der Social-Engineering-Phase. Die Kombination aus Täuschung und KI-Tools erschwert es den Empfängern, legitime Kommunikation von betrügerischer zu unterscheiden, was die Wahrscheinlichkeit erfolgreicher Einbrüche erhöht.

Die DVRK-Bedrohungsfläche expandiert über Börsen hinaus

Über den Zerion-Fall hinaus haben Forscher betont, dass nordkoreanische Bedrohungsakteure sich seit Jahren in Krypto-Ökosystemen eingenistet haben. MetaMask-Entwickler und Sicherheitsforscher Taylor Monahan merkte an, dass DVRK-IT-Mitarbeiter seit mindestens sieben Jahren an zahlreichen Protokollen und Projekten beteiligt waren, was eine anhaltende Präsenz im gesamten Sektor unterstreicht. Die Integration von KI-Tools in diese Kampagnen erhöht das Risiko und ermöglicht überzeugendere Imitationen und optimierte Social-Engineering-Arbeitsabläufe.

Analysten von Elliptic haben die sich entwickelnde Bedrohung in einem Blogbeitrag zusammengefasst und hervorgehoben, dass die DVRK-Gruppe entlang zweier Angriffsvektoren operiert – einer ausgefeilten, einer eher opportunistischen – und dabei einzelne Entwickler, Projektmitwirkende und jeden mit Zugang zur Krypto-Infrastruktur ins Visier nimmt. Die Beobachtung entspricht dem, was Zerion und andere vor Ort sehen: Die Einstiegshürde für durch Social Engineering ermöglichte Sicherheitsverletzungen ist niedriger als je zuvor, dank der Fähigkeit der KI, täuschende Inhalte im großen Maßstab zu automatisieren und maßzuschneidern.

Mit der Ausweitung der Bedrohung betonen Beobachter, dass der menschliche Faktor – Anmeldedaten, Sitzungstoken, private Schlüssel und Vertrauensbeziehungen – weiterhin der primäre Einstiegspunkt bleibt. Der Taktikwechsel bedeutet, dass Unternehmen nicht nur ihren Code und ihre Implementierungen verteidigen müssen, sondern auch die Integrität interner Kommunikation und Zugriffswege, die Teams mit kritischen Assets verbinden.

Worauf Leser als Nächstes achten sollten

Angesichts der übergreifenden Natur dieser Angriffe sollten Marktteilnehmer und Entwickler mehrere sich entwickelnde Entwicklungen beobachten. Erstens veranschaulichen die Drift-Protocol-Episode und Zerions Vorfall zusammen, dass DVRK-verbundene Akteure einen mehrstufigen, langfristigen Ansatz verfolgen, der traditionelles Social Engineering mit KI-erweiterten Inhalten verbindet. Dies impliziert, dass kurzfristige Korrekturen – wie das Patchen einer einzelnen Schwachstelle oder das Warnen vor verdächtigem Code – ohne verstärkte Identitäts- und Zugriffskontrollen in der gesamten Organisation unzureichend sein werden.

Zweitens legt die Ausweitung KI-gesteuerten Betrugs auf gewöhnliche Kollaborationskanäle nahe, dass Verteidiger die Überwachung auf anomale Anmeldesitzungen, ungewöhnliche Privilegienerweiterungen und verdächtige Imitationen innerhalb interner Messaging- und Meeting-Plattformen verstärken sollten. Wie SEAL und Mandiant gezeigt haben, nutzen Angreifer bereits bestehende Vertrauensbeziehungen, um Misstrauen zu senken, was menschliche Wachsamkeit neben technischen Kontrollen unerlässlich macht.

Schließlich sollte das breitere Ökosystem mit fortgesetzter öffentlicher Berichterstattung und Analyse von Forschern rechnen, da weitere Vorfälle auftauchen. Die Konvergenz von KI mit Social Engineering wirft Fragen zu regulatorischen und Branchenstandards für Vorfallreaktion, Lieferantenrisikomanagement und Nutzeraufklärung auf. Während die Branche diese Lektionen verarbeitet, wird es entscheidend sein zu verfolgen, wie Wallets, Protokolle und Sicherheitsfirmen sich an ein Angreifer-Playbook anpassen, das zunehmend das menschliche Element in Verbindung mit KI-Tools betont.

Für den weiteren Kontext können Leser die Analyse des Drift-Protocol-Exploits im Zusammenhang mit derselben DVRK-verbundenen Aktivität, das SEAL-Gutachten zur Verfolgung von UNC1069 und Mandiants Bewertung der Techniken der Gruppe, einschließlich KI-unterstützten Betrugs, einsehen. Kommentare von Forschern, die DVRK-Akteure untersucht haben – wie Taylor Monahan und Elliptic – helfen, die Tiefe und Beständigkeit der Bedrohung zu beleuchten und unterstreichen, dass die Bedrohungslandschaft nicht nur offengelegte Smart Contracts betrifft, sondern auch, wie Teams ihre Mitarbeiter ebenso wie ihren Code verteidigen.

Während sich dieser Bereich weiterentwickelt, umfassen zu beobachtende Entwicklungen neue Fallaktualisierungen von Zerion und Drift Protocol, etwaige Verschiebungen in den Werkzeugen der Bedrohungsakteure und regulatorische Reaktionen zur Verbesserung der Transparenz und Widerstandsfähigkeit in Krypto-Unternehmen. Die zentrale Erkenntnis bleibt klar: Die stärkste Verteidigung kombiniert robuste Identitätshygiene mit einer wachsamen, KI-informierten Sicherheitshaltung, die ausgefeilte Social-Engineering-Kampagnen erkennen und abschrecken kann, bevor sie zuschlagen.

Dieser Artikel wurde ursprünglich als North Korean Hackers Deploy AI-Driven Social Engineering on Zerion auf Crypto Breaking News veröffentlicht – Ihrer vertrauenswürdigen Quelle für Kryptonachrichten, Bitcoin-Nachrichten und Blockchain-Updates.