KimJongRAT, Nordkoreas

KimJongRAT: Nordkoreas Hacker greifen Krypto-Wallets an

01.12.2025 - 23:29:12

KimJongRAT: Nordkoreas Hacker greifen Krypto-Wallets an - Foto: über boerse-global.de
KimJongRAT: Nordkoreas Hacker greifen Krypto-Wallets an - Foto: über boerse-global.de

Nordkoreanische Cyberspione haben ihr berüchtigtes Angriffswerkzeug modernisiert und gehen gezielt auf Kryptowährungen los. Die Hacker-Gruppe Kimsuky nutzt eine neue Variante der Schadsoftware “KimJongRAT”, um Windows-Systeme zu kompromittieren und sensible Unternehmensdaten abzugreifen. Sicherheitsforscher warnen: Die Angreifer tarnen sich so geschickt, dass herkömmliche Antivirenprogramme kaum eine Chance haben.

Was macht diese Cyberangriffe so gefährlich? Die nordkoreanischen Akteure setzen auf eine raffinierte Taktik: Sie missbrauchen legitime Windows-Systemtools und verstecken ihre Schadsoftware auf vertrauenswürdigen Content-Delivery-Networks. Der Datenverkehr wirkt dadurch völlig normal – ein perfektes Tarnmanöver.

Der Infektionsweg beginnt mit einer scheinbar harmlosen E-Mail. Die Angreifer geben sich als südkoreanische Regierungsbehörden aus und versenden gefälschte Verwaltungsdokumente. Klickt das Opfer auf die beigefügte Datei, startet eine ausgeklügelte Angriffskette.

Zunächst lädt eine Windows-Verknüpfungsdatei über die Standard-Tools cmd.exe und curl.exe eine manipulierte HTML-Anwendung herunter. Die Hacker hosten diese Dateien auf Plattformen wie cdn.glitch.global – eigentlich seriöse Dienste, die normalerweise von Entwicklern genutzt werden. Diese Tarnung ist brillant: Für Sicherheitssysteme sieht der Download aus wie normaler Nutzerverkehr.

Anzeige

Viele Unternehmen unterschätzen, wie raffiniert Angreifer legitime Windows-Werkzeuge für Einbrüche nutzen und damit klassische Signatur-Scanner aushebeln. Ein kostenloses E‑Book erklärt die aktuellen Cyber-Security-Trends, zeigt praktische Erkennungs- und Sofortmaßnahmen (z. B. Monitoring ungewöhnlicher Aufrufe von mshta.exe, curl.exe oder das Blocken von .hta-Ausführung) und liefert Checklisten für IT-Leiter. Mit Fallbeispielen und Prioritäten für KMU. Jetzt Cyber-Security-E-Book herunterladen

“Die Angreifer leben buchstäblich vom System selbst”, erklären die Forscher. Sobald die heruntergeladene Datei über mshta.exe ausgeführt wird, entfaltet sich das eigentliche Schadprogramm. Ein verschleiertes VBScript installiert mehrere Komponenten gleichzeitig. Besonders perfide: Den Nutzer lenkt ein harmlos wirkendes PDF-Dokument ab, während im Hintergrund die Schadsoftware ihre Arbeit aufnimmt.

Krypto-Wallets im Fadenkreuz

Was haben es die nordkoreanischen Hacker abgesehen? Vor allem auf Geld und Geheimnisse. Die technische Analyse zeigt: KimJongRAT wurde speziell dafür entwickelt, ein breites Spektrum sensibler Informationen zu stehlen.

Die als Systemdatei getarnte Malware – oft mit Namen wie net64.log oder main64.log – verfügt über beachtliche Fähigkeiten:

Kryptowährungsdiebstahl steht ganz oben auf der Agenda. Das Programm durchsucht gezielt Browser-Erweiterungen von Krypto-Wallets und versucht, private Schlüssel sowie Transaktionsdaten abzugreifen. Für die Opfer kann das den Totalverlust ihres digitalen Vermögens bedeuten.

Doch damit nicht genug: Die Schadsoftware sammelt systematisch gespeicherte Anmeldedaten aus gängigen Browsern wie Chrome und Edge. In fortgeschrittenen Varianten kommt zusätzlich eine Keylogger-Funktion zum Einsatz, die jeden Tastendruck aufzeichnet. Screenshots werden automatisch erstellt – die Angreifer können quasi in Echtzeit zuschauen, was auf dem kompromittierten Rechner passiert.

Besonders beunruhigend: Bei einigen Angriffen beobachteten Experten eine “dateilose” PowerShell-Variante. Diese hinterlässt kaum Spuren auf der Festplatte und erschwert die forensische Aufklärung erheblich.

Kimsuky verfeinert die Methoden

Die KimJongRAT-Familie ist kein Neuling in der Cybercrime-Szene. Seit 2013 dokumentieren Sicherheitsforscher diese Malware. Dass sie nach über einem Jahrzehnt immer noch aktiv weiterentwickelt wird, zeigt die Anpassungsfähigkeit der Kimsuky-Gruppe – auch bekannt als APT43 oder Velvet Chollima.

Während frühere Versionen hauptsächlich südkoreanische Diplomaten und Think Tanks ins Visier nahmen, hat sich der Fokus erweitert. Die Hinwendung zu Kryptowährungen passt perfekt ins Bild: Nordkoreanische Cyberoperationen verschmelzen zunehmend Spionage mit Finanzkriminalität. Analysten gehen davon aus, dass die gestohlenen Gelder staatliche Aktivitäten finanzieren sollen.

Die Social-Engineering-Köder werden kontinuierlich verfeinert. Aktuelle Lockvogel-Dokumente verwenden gefälschte Benachrichtigungen über “Informationen zu registrierten Sexualstraftätern” oder angeblich dringende Verwaltungsformulare. Die Taktik: Ein Gefühl der Dringlichkeit erzeugen, das zu unüberlegtem Handeln verleitet.

Warum herkömmliche Abwehr versagt

Das Wiederaufleben von KimJongRAT mit HTML-Anwendungen markiert einen kritischen Trend: die Wiederbelebung alter Windows-Dateiformate als Angriffsvektor. HTA-Dateien existieren seit Jahrzehnten, werden aber zunehmend missbraucht, weil sie außerhalb der Browser-Sicherheitssandbox laufen und vollen Systemzugriff besitzen.

Der Clou liegt in der Methode: Die Angreifer nutzen ausschließlich vorinstallierte Windows-Werkzeuge – sogenannte “Living Off The Land Binaries” (LOLBins) wie mshta.exe, certutil.exe und curl.exe. Traditionelle Antivirenprogramme, die auf Signaturen setzen, haben hier kaum Chancen. Die Schadsoftware tarnt sich als legitime Systemaktivität.

“Es geht nicht nur um eine neue Malware-Variante, sondern um ausgereifte Einschleusungsmechanismen”, betont ein Threat-Intelligence-Spezialist. “Durch die Kombination legitimer Cloud-Dienste mit obskuren Dateitypen senkt Kimsuky die Hürde für erfolgreiche Kompromittierung erheblich.”

Zum Vergleich: Während deutsche Unternehmen wie SAP oder die Telekom in der Regel über hochentwickelte Sicherheitssysteme verfügen, trifft es häufig mittelständische Firmen und Finanzdienstleister mit Kryptofokus deutlich härter. Die Dezentralisierung der Krypto-Branche macht sie zu einem idealen Ziel.

Was kommt als Nächstes?

Organisationen im Finanz-, Kryptowährungs- und Regierungssektor sollten sich auf weitere Angriffswellen einstellen. Der erfolgreiche Missbrauch von Plattformen wie Glitch und GitHub zur Malware-Verteilung zeigt: Cyberkriminelle werden weiterhin kostenlose Cloud-Infrastruktur ausnutzen, um reputationsbasierte Filter zu umgehen.

Verteidigungsempfehlungen sind klar: Unternehmen sollten die Ausführung von .hta-Dateien blockieren, wo sie nicht zwingend benötigt werden. Zudem gilt es, ungewöhnliche Nutzung von curl.exe und mshta.exe in Endpoint-Logs zu überwachen. Verhaltensbasierte Erkennungssysteme werden wichtiger denn je – reine Signaturabgleiche reichen nicht mehr aus.

Kann dieser Trend gestoppt werden? Nordkoreanische Staatsakteure zeigen keine Anzeichen, ihre Cyber-Offensive zu drosseln. Die Verschmelzung von Spionage und Finanzkriminalität bleibt auf absehbare Zeit eine erstrangige Bedrohung. Besonders beunruhigend: Die Angriffe werden technisch immer ausgefeilter, während gleichzeitig die Hemmschwelle für erfolgreiche Kompromittierungen sinkt.

Anzeige

PS: Sie wollen Ihr Unternehmen gegen die nächste Welle solcher Angriffe wappnen? Der kostenlose Leitfaden fasst praxisnahe Schutzmaßnahmen zusammen, erklärt neue gesetzliche Anforderungen und liefert eine umsetzbare Checkliste für IT-Verantwortliche – ideal für Finanzdienstleister und Firmen mit Kryptofokus. Holen Sie sich den Guide mit Prioritätenliste und Sofortmaßnahmen. Kostenlosen Cyber-Security-Leitfaden anfordern

@ boerse-global.de
Die besten Black Friday Angebote für