KI Neuigkeiten
28 Apr. 2026
Read 10 min
KI gestützte Kryptowährungsdiebstähle Nordkorea: Was tun?
KI-gestützte Krypto-Diebstähle Nordkorea zwingen Entwickler, Geräte und Schlüssel sofort zu schützen.
Nordkoreanische Banden setzen KI ein, um Kryptowährungen effizient zu stehlen. Der aktuelle Fall zeigt: KI gestützte Kryptowährungsdiebstähle Nordkorea gelingen auch mit nur mittelmäßigen Fähigkeiten – dank Chatbots, Code-Assistenten und KI-Webdesign. Entwickler wurden mit Schein-Jobs gelockt, infizierte Testaufgaben stahlen Zugangsdaten und in manchen Fällen Wallet-Schlüssel.
Warum dieser Fall wichtig ist
Sicherheitsforscher von Expel deckten eine Kampagne auf, die mehr als 2.000 Rechner von Entwicklerinnen und Entwicklern infizierte. Ziel waren vor allem kleine Krypto-Projekte, NFT-Launches und Web3-Teams. Die Angreifer, von Expel als HexagonalRodent bezeichnet, nutzten Tools von OpenAI, Cursor und Anima – sie „vibe codeten“ praktisch jeden Schritt: vom Schreiben der Malware bis zu täuschend echten Firmenwebsites. Geschätzter Schaden: bis zu 12 Millionen US-Dollar in nur drei Monaten. Der Fall macht deutlich, wie KI gestützte Kryptowährungsdiebstähle Nordkorea praktisch möglich machen, auch wenn die Täter technisch nicht top sind.KI gestützte Kryptowährungsdiebstähle Nordkorea – wie die Angriffe ablaufen
Zielgruppe: Krypto- und Web3-Entwickler
Die Gruppe suchte gezielt Personen, die an Token-Starts, NFT-Creation und kleinen Web3-Projekten arbeiten. Diese Zielgruppe verwaltet oft sensible Schlüssel und verfügt nicht immer über Unternehmensschutz wie professionelle Endpunkt-Sicherheit.Täuschung über Jobangebote und gefälschte Firmenwebsites
Die Täter schickten verlockende Jobangebote und bauten komplette Schein-Firmenauftritte mit KI-Webdesign-Tools. Der nächste Schritt war eine „Technikaufgabe“ zum Download. Das Paket enthielt Malware, die Zugangsdaten erbeutete – teils bis hin zu Schlüsseln für Krypto-Wallets.Malware aus dem KI-Baukasten
Forscher Marcus Hutchins fand deutliche Spuren von KI-Erzeugung im Code: viele Kommentare auf Englisch und sogar Emojis im Quelltext – ein untypisches Bild für manuell geschriebenen Schadcode. Laut Hutchins hätten gängige EDR-Lösungen die Malware erkannt. Doch viele Einzelpersonen in dieser Nische hatten solche Schutzsoftware nicht installiert. Genau diese Lücke nutzte HexagonalRodent.Was die Forensik verriet
Emoji-Kommentare und englische Notizen
Die umfangreichen Kommentare und die Emoji-Verwendung sprechen für Text- und Code-Generierung durch große Sprachmodelle. Zusätzlich verband die Infrastruktur der Angreifer die Kampagne mit bekannten nordkoreanischen Operationen.Fehlkonfigurationen der Angreifer
Die Täter ließen Teile ihrer Infrastruktur offen. Dadurch wurden ihre Prompt-Historien sichtbar, etwa für ChatGPT und Cursor. Außerdem lag eine Datenbank frei, in der sie Opfer-Wallets verfolgten. So konnte Expel die mögliche Gesamtsumme abschätzen. Nicht alle Wallets waren zwingend direkt leergeräumt, teils verhinderten Hardware-Sicherheitstoken den unmittelbaren Zugriff.Warum gerade Nordkorea von KI profitiert
Hutchins beschreibt ein klares Muster: Viele entsandte IT-Arbeitskräfte, aber nur wenige echte Top-Hacker. Generative KI dient als Hebel, um mittelmäßige Operatoren produktiv zu machen. Expel schätzt bis zu 31 Beteiligte bei HexagonalRodent. KI ersetzt also nicht Personal – sie skaliert es. Michael „Barni“ Barnhart (DTEX) sieht KI als „Force Multiplier“: Lebensläufe, Websites, Exploit-Recherche, das Testen von Schwachstellen – alles läuft schneller. Berichte verweisen zudem auf „Research Center 227“ unter dem nordkoreanischen RGB, das KI-gestützte Hacking-Tools entwickeln soll. Im Alltag greifen die Akteure aber vor allem zu handelsüblichen Diensten. Microsoft beobachtete den Einsatz von KI für falsche IDs, bessere Social-Engineering-Texte und für das schnelle Aufsetzen von Web-Infrastruktur. OpenAI sperrte mutmaßlich nordkoreanische Accounts, die ChatGPT in betrügerischen IT-Arbeitsmodellen einsetzten – bis hin zum Codieren nach erfolgreicher Einschleusung. Anthropic meldete Nutzer, die ohne KI kaum Basisaufgaben bewältigten, erkannte Versuche zur Malware-„Verbesserung“ und blockierte diese. Cursor stoppte HexagonalRodent nach Expects Hinweis. Anima arbeitet laut CEO Avishay Cohen an der Sperrung der missbräuchlichen Nutzung. OpenAI betont, die Modelle hätten keine „neuen Fähigkeiten“ geliefert – der Wert lag in Tempo und Skalierung.Risiko-Fenster: Mittelmäßige Täter, große Wirkung
Der Fall zeigt ein pragmatisches Bedrohungsbild: Es geht nicht um futuristische KI, die automatisch Zero-Days findet. Stattdessen senkt generative KI die Einstiegshürden. Mittelmäßige Operatoren erstellen Code, Websites und Infrastruktur „auf Knopfdruck“. So entstehen breit angelegte, aber einfache Kampagnen – mit realen Verlusten. Genau hier entfalten KI gestützte Kryptowährungsdiebstähle Nordkorea ihre Wirkung.Was Unternehmen und Entwickler jetzt tun sollten
Absicherung der Arbeitsgeräte
– Endpunkt-Schutz (EDR) auch auf Entwickler-Laptops nutzen, nicht nur auf Bürorechnern. – Updates und Mindesthärtung konsequent umsetzen.Schlüssel und Wallets schützen
– Wo möglich Hardware-Sicherheitstoken einsetzen. – Zugänge und Secrets strikt trennen und nur bei Bedarf freigeben.Vorsicht bei Recruiting und „Testaufgaben“
– Jobangebote prüfen, Firmenwebsites validieren. – Keine unbekannten Binärdateien oder Archive aus „Bewerbungstests“ ungeprüft ausführen.KI-Nutzung beobachten
– Entwicklungs- und Security-Teams sollten Missbrauchsmuster kennen (z. B. massenhaft generierte Web-Infrastruktur, polierte Social-Engineering-Texte). – Anbieter melden verdächtige Aktivitäten und setzen Sperren – diese Kette funktioniert nur, wenn Vorfälle geteilt werden.Lehren aus dem Vorfall
– Die Täter gewannen durch Geschwindigkeit und Reichweite, nicht durch neuartige Exploits. – Sichtbarkeit, Basisschutz und gesunde Skepsis gegenüber externen Dateien hätten viele Infektionen verhindert. – Teams sollten sich auf das Wahrscheinliche vorbereiten: KI-unterstützte Massenphishing- und Credential-Diebstahl-Kampagnen, nicht nur auf hypothetische „Super-Hacks“. Am Ende zählt: Wer Schlüssel, Build-Umgebungen und Entwicklergeräte sichtbar macht und schützt, senkt das Risiko massiv. Genau hier greifen heute KI gestützte Kryptowährungsdiebstähle Nordkorea an – mit Tempo, Täuschung und einfacher, aber wirkungsvoller Malware. Wer diese Lücken schließt, nimmt den Angreifern ihren größten Vorteil.(Source: https://www.wired.com/story/ai-tools-are-helping-mediocre-north-korean-hackers-steal-millions/)
For more news: Click Here
FAQ
Q: Was ist in dem dokumentierten Fall passiert?
A: Sicherheitsfirma Expel entdeckte die staatlich unterstützte Gruppe HexagonalRodent, die mehr als 2.000 Entwicklerrechner mit Malware infizierte und gezielt kleine Krypto‑Projekte, NFT‑Starts und Web3‑Teams angriff. Der Bericht zeigt, wie KI gestützte Kryptowährungsdiebstähle Nordkorea ermöglichten: Die Täter nutzten kommerzielle Tools wie OpenAI, Cursor und Anima und sollen bis zu 12 Millionen US‑Dollar in drei Monaten erbeutet haben.
Q: Wie wurden Opfer angelockt und infiziert?
A: Die Angreifer lockten Entwickler mit gefälschten Jobangeboten und täuschend echten Firmenwebsites, die oft mit KI‑Webdesign‑Tools erstellt wurden. Die Opfer sollten Technikaufgaben herunterladen, die Malware enthielten und Zugangsdaten sowie teilweise Wallet‑Schlüssel stahlen, was ein typisches Muster für KI gestützte Kryptowährungsdiebstähle Nordkorea in diesem Fall darstellt.
Q: Woran erkannten Forschende, dass die Malware mit KI erstellt worden sein könnte?
A: Analysen fanden umfangreiche englische Kommentare und Emojis im Quelltext, Merkmale, die Forscher als Indizien für KI‑generierten Code nennen. Zudem wurden Prompt‑Historien und Teile der Infrastruktur offen gelassen, sodass Hinweise auf die Nutzung von ChatGPT und Cursor sichtbar wurden und die Einschätzung stützten, dass es sich um KI gestützte Kryptowährungsdiebstähle Nordkorea handelte.
Q: Warum konnten scheinbar mittelmäßige Hacker mit Hilfe von KI so erfolgreich sein?
A: Generative KI senkt technische Einstiegshürden, weil sie Code, Phishing‑Texte und Websites automatisiert erstellen kann und so weniger erfahrene Operatoren handlungsfähig macht. Der Fall zeigt, dass KI gestützte Kryptowährungsdiebstähle Nordkorea als „Force Multiplier“ dienen, weil Teams mehr Personen Zugriff auf leistungsfähige Modelle geben und dadurch Tempo und Reichweite erhöhen.
Q: Welche Fehler der Angreifer halfen den Forschenden bei der Aufklärung?
A: Die Täter ließen Teile ihrer Infrastruktur fehlkonfiguriert und eine Datenbank mit Opfer‑Wallets offen, außerdem wurden Prompt‑Logs sichtbar, was Forschern Einblicke gab. Solche Nachlässigkeiten ermöglichten die Analyse der Kampagne und lieferten Belege dafür, wie KI gestützte Kryptowährungsdiebstähle Nordkorea durch einfache Fehlkonfigurationen enttarnt werden können.
Q: Welche Schutzmaßnahmen sollten Entwickler und Unternehmen sofort umsetzen?
A: Empfohlen werden Endpunkt‑Schutz (EDR) auch auf Entwicklerlaptops, konsequente Updates und Mindesthärtung sowie der Einsatz von Hardware‑Sicherheitstoken für Wallets. Zusätzlich sollten Bewerbungsangebote und Testaufgaben geprüft, unbekannte Binärdateien nicht ausgeführt und verdächtige KI‑Nutzung gemeldet werden, um KI gestützte Kryptowährungsdiebstähle Nordkorea zu erschweren.
Q: Können Anbieter von KI‑Modellen solchen Missbrauch verhindern?
A: Anbieter wie OpenAI und Anthropic berichteten, verdächtige nordkoreanische Konten erkannt und in Teilen gesperrt zu haben, und Cursor sowie Anima blockierten oder arbeiteten mit Ermittlern zusammen. Solche Reaktionen zeigen, dass Anbieter eine wichtige Rolle beim Eindämmen von KI gestützte Kryptowährungsdiebstähle Nordkorea spielen, indem sie Missbrauch melden und Zugänge sperren.
Q: Was ist die wichtigste Lehre aus diesem Vorfall für die Sicherheitsbranche?
A: Die zentrale Erkenntnis ist, dass die aktuelle Gefahr weniger in futuristischen, automatischen Zero‑Day‑Entdeckern liegt, sondern in der praktischen Nutzung von KI zur Skalierung einfacher Angriffe wie Massenphishing und Credential‑Diebstahl. Der Bericht empfiehlt Sichtbarkeit, Basisschutz und Aufmerksamkeit für Missbrauchsmuster, um KI gestützte Kryptowährungsdiebstähle Nordkorea wirkungsvoll zu begegnen.
Contents
