Trend Micro veröffentlicht eine neue Analyse zur nordkoreanischen APT-Gruppe Void Dokkaebi (auch bekannt als Famous Chollima). Die Untersuchung zeigt, wie die Gruppe gezielt russische Internet-Infrastruktur nutzt, um Krypto-Diebstähle und Spionageoperationen durchzuführen und dabei Anonymität zu wahren. Void Dokkaebi bedient sich dabei einer komplexen Infrastruktur aus russischen und nordkoreanischen IP-Adressen, VPNs und Proxies.
Trend Micros aktuelle Untersuchung zeigt erstmals, wie stark Russland als technisches Rückgrat für nordkoreanische Cyberoperationen fungiert. Die analysierten IP-Adressen befinden sich hauptsächlich im Osten Russlands und gehören ASN 20485 (TransTelecom), das Nordkorea seit 2017 eine zweite Internetanbindung bietet.
Void Dokkaebi nutzt dabei ein ausgefeiltes Netzwerk: Russische und nordkoreanische IP-Adressen ermöglichen es IT-Mitarbeitern, über RDP-Server, VPS-Systeme und VPNs anonym weltweit zu agieren. Über kompromittierte Maschinen oder Server wird ein "Sprungbrett" geschaffen, das es erlaubt, mit neuen Identitäten auf westliche Plattformen und Systeme zuzugreifen.
Täuschung durch Fake-Firmen
Eine zentrale Rolle in der aktuellen Kampagne spielt Social Engineering über Fake-Firmen. Ein Beispiel ist BlockNovas, eine scheinbar legitime Firma, die sich auf Blockchain-Technologien spezialisiert hat. Über professionelle Webauftritte und soziale Netzwerke kontaktiert die Gruppe gezielt Web3-Entwickler oder IT-Fachkräfte, oft aus Deutschland, der Ukraine oder den USA. Bewerber werden dazu gebracht, infizierte Dateien zu öffnen, die dann Zugang zu sensiblen Informationen und Kryptowährungs-Wallets ermöglichen.
Diebstahl und Spionage als Doppelstrategie
Trend Micros Analyse zeigt, dass diese Aktivitäten nicht nur auf Diebstahl beschränkt sind. Falls keine Kryptowährungen gefunden werden, nutzt Void Dokkaebi erlangte Zugänge, um gezielt Industriespionage zu betreiben. Dabei wird legitime Software (z. B. Dropbox oder Slack) für die Datenexfiltration zweckentfremdet.
Interne Trainingsprogramme der Angreifer
Besonders bemerkenswert: Trend Micro analysierte sieben interne Trainingsvideos der Gruppe in (gebrochener) englischer Sprache. Diese zeigen unter anderem, wie Beavertail-Command-and-Control-Server aufgebaut werden, wie Passwörter für Wallets geknackt werden und wie kompromittierte Systeme als Proxys weiterverwendet werden können. Die Inhalte deuten auf eine gut strukturierte Organisation hin, die offenbar auch externe Akteure für weniger kritische Aufgaben anlernt – ein Hinweis auf eine Art Cybercrime-Outsourcing durch Nordkorea.
Strategische Bedeutung russischer Systeme
Die Nutzung russischer Infrastruktur ist für Nordkorea strategisch von hoher Bedeutung. Mit nur rund 1.024 offiziellen IP-Adressen im eigenen Land muss Nordkorea alternative Wege finden, um globale Cyberoperationen effizient zu betreiben. Russische Systeme bieten dabei geografische Nähe, politische Deckung und technische Möglichkeiten, um große Volumen an Traffic anonym zu bewältigen.
Feike Hacquebord, Senior Threat Researcher bei Trend Micro und Mitautor der Analyse, kommentiert: „Wir haben bereits beobachtet, dass Bedrohungsakteure Tools wie ChatGPT nutzen, um Fragen in echten Online-Bewerbungsgesprächen zu beantworten. Es gibt auch Hinweise darauf, dass sie mit Deepfakes experimentieren. Sich auf eine Zukunft vorzubereiten, in der Angreifer sich als Kandidaten ausgeben, um unter dem Deckmantel legitimer Interviews an Daten zu gelangen, ist nicht nur sinnvoll, sondern absolut notwendig.“