Thought Leadership
Eine aktuelle Analyse des IT-Sicherheitsunternehmens Trend Micro zeigt, wie die nordkoreanische Hackergruppe Void Dokkaebi – auch bekannt unter dem Namen Famous Chollima – gezielt russische Internetressourcen einsetzt, um weltweit Cyberangriffe durchzuführen.
Im Mittelpunkt stehen Krypto-Diebstahl und Industriespionage, unterstützt durch ein weitverzweigtes Netzwerk aus Proxies, VPNs und gefälschten Unternehmen.
Russische Technik als Rückgrat der Operationen
Die Recherche belegt erstmals konkret, wie Russland als technisches Fundament für nordkoreanische Cyberaktivitäten fungiert. Void Dokkaebi greift auf IP-Adressen in russischen Regionen wie Chabarowsk und Chasan zurück. Diese stammen unter anderem vom Anbieter TransTelecom (ASN 20485), der seit 2017 als zweite Internetverbindung für Nordkorea gilt.
Durch diese Infrastruktur agiert die Gruppe weltweit anonym. Sie nutzt RDP-Server, virtuelle private Server (VPS) und VPN-Dienste, um ihre Aktivitäten zu verschleiern. Dabei werden oft kompromittierte Systeme als „Sprungbretter“ genutzt, über die neue digitale Identitäten aufgebaut werden. So gelingt der Zugang zu westlichen Systemen ohne Rückverfolgbarkeit.
Täuschung mit gefälschten Firmenprofilen
Ein zentrales Mittel im Arsenal der Hacker ist der Einsatz von Fake-Unternehmen. Eines dieser Scheinunternehmen nennt sich BlockNovas – eine angeblich auf Blockchain-Technologie spezialisierte Firma mit professionellem Webauftritt. Über soziale Netzwerke nimmt die Gruppe Kontakt zu Web3-Entwicklern und IT-Spezialisten auf, besonders aus Ländern wie Deutschland, der Ukraine oder den USA.
Interessierte Bewerber werden dazu gebracht, manipulierte Dateien zu öffnen, was der Gruppe Zugang zu sensiblen Daten und Kryptowallets verschafft. In vielen Fällen bleibt der Diebstahl von Kryptowährungen jedoch nicht das einzige Ziel.
Industriespionage als parallele Strategie
Wenn kein direkter finanzieller Gewinn durch Krypto-Raub möglich ist, verlagert sich der Fokus der Angreifer auf die Ausspähung von Industrieunternehmen – insbesondere in den Bereichen Technologie und Energie. Hierzu bedienen sie sich legitimer Softwarelösungen wie Dropbox oder Slack, um unbemerkt Daten zu exfiltrieren. Die Gruppe geht dabei hochgradig professionell vor.
Interne Schulungen und Outsourcing-Strukturen
Trend Micro analysierte sieben interne Trainingsvideos von Void Dokkaebi, die Einblicke in die Methoden der Gruppe geben. Die Inhalte – größtenteils in fehlerhaftem Englisch – behandeln Themen wie das Einrichten von Command-and-Control-Servern (z. B. mit Beavertail), das Knacken von Passwörtern und den Aufbau von Proxy-Infrastrukturen auf kompromittierten Geräten.
Die Schulungen deuten auf eine hierarchisch strukturierte Organisation hin, die offenbar auch externe Akteure oder „Subunternehmer“ für weniger sensible Aufgaben einbindet. Dies lässt auf eine Form von Cybercrime-Outsourcing schließen – ein Modell, das in der staatlich gelenkten nordkoreanischen Cyberstrategie zunehmend an Bedeutung gewinnt.
Warum Russland als Basis dient
Die Wahl russischer Systeme ist für Nordkorea kein Zufall. Mit nur etwa 1.024 offiziell verfügbaren IP-Adressen im eigenen Land ist der Handlungsspielraum begrenzt. Russische Netzwerke bieten durch ihre geografische Nähe, technische Kapazitäten und die politische Schutzfunktion erhebliche Vorteile. So kann ein hohes Maß an Anonymität gewährleistet und gleichzeitig die Skalierung globaler Cyberoperationen realisiert werden.
Neue Herausforderungen für die Cybersicherheit
Die von Trend Micro aufgedeckten Aktivitäten verdeutlichen, wie weitreichend die Bedrohung durch staatlich gelenkte Hackergruppen mittlerweile ist. Besonders beunruhigend ist die zunehmende Raffinesse im Bereich Social Engineering. Feike Hacquebord, Senior Threat Researcher bei Trend Micro, warnt:
„Wir haben bereits beobachtet, dass Bedrohungsakteure Tools wie ChatGPT nutzen, um Fragen in echten Online-Bewerbungsgesprächen zu beantworten. Es gibt auch Hinweise darauf, dass sie mit Deepfakes experimentieren. Sich auf eine Zukunft vorzubereiten, in der Angreifer sich als Kandidaten ausgeben, um unter dem Deckmantel legitimer Interviews an Daten zu gelangen, ist nicht nur sinnvoll, sondern absolut notwendig.“
Diese Einschätzung verdeutlicht die Dringlichkeit, mit der Unternehmen und Behörden ihre Sicherheitsmaßnahmen anpassen müssen – nicht nur technisch, sondern auch im Umgang mit Bewerbungsprozessen und Remote-Arbeitsmodellen.
