Kaspersky über BlueNoroff-Kampagnen „GhostCall“ und „GhostHire“: VC-Fake-Calls, Telegram-Nachrichten und vermeintlichen GitHub-Tests. Was du wissen musst.
von Pia Messerschmitt
Updated
3 Min. read
Nordkoreas Elite-Hacker perfektionieren ihren Scams: Mit präparierten Video-Calls, Telegram-Anschreiben und generativer KI dringt BlueNoroff in die Wallets ein. Die neuen Kampagnen „GhostCall“ und „GhostHire“ zeigen, wie Social Engineering 2025 aussieht und wie du dich dagegen schützen kannst.
Kasperskys Analyst:innen präsentierten auf dem Security Analyst Summit 2025 zwei laufende BlueNoroff-Kampagnen: „GhostCall“ und „GhostHire“. Beide zielen direkt auf die Krypto-Industrie und liefen mindestens seit April 2025, mit Opfern in Indien, der Türkei, Australien sowie mehreren Ländern in Europa und Asien.
„GhostCall“ wirkt banal, aber scheint effektiv: Angreifer melden sich via Telegram als vermeintliche Venture-Capital-Investoren, laden zu einem Meeting und führen die Zielperson auf täuschend echt gestaltete Zoom-Imitat-Seiten. Dort laufen keine Deepfakes, sondern zuvor heimlich aufgezeichnete Videos echter Opfer, um Live-Charakter zu simulieren. Irgendwann „hakt“ der Ton – und das Opfer wird zu einem „Update“ gedrängt. Hinter dem Klick steckt ein AppleScript/Installer, der die Infektionskette lostritt.
Technisch sprechen die Kampagnen eine breite Plattform-Zielgruppe an: Die Delivery-Stufe wählt je nach User-Agent das passende Script für Windows (PowerShell), Linux (bash) oder macOS (AppleScript) und lädt identische Payloads nach. Kaspersky beschreibt unter anderem die Loader-Familie „DownTroy“ und nachgelagerte Backdoors („RooTroy“, „RealTimeTroy“), die systemweit Informationen sammeln – von Wallet-Dateien über Keychain-Daten bis hin zu DevOps-Secrets und Messenger-Inhalten.
Die zweite Kampagne „GhostHire“ tarnt sich als Recruiting-Prozess. Nach kurzem Screening wird das „Talent“ in einen Telegram-Bot geladen, der Zip-Archive oder GitHub-Repos mit einer 30-Minuten-Deadline verschickt: „Bitte schnell bauen – Zeit läuft.“ Wer den manipulierten Code ausführt, installiert den gleichen Malware-Stack wie bei „GhostCall“. Das schafft eine gemeinsame Infrastruktur und TTP-Signatur über beide Kampagnen hinweg.
Kaspersky betont, BlueNoroff nutze generative KI, um Scripte zu verfeinern und Angriffe produktiver aufzuziehen – unter anderem erkennbar an spezifischen, KI-typischen Kommentarmustern in den Stealer-Modulen.
BlueNoroff’s „GhostCall“ and „GhostHire“ target crypto and Web3 with fake calls and job offers to steal millions. Stay safe—learn more on Securelist: https://t.co/cVzvOugqWJ #CyberSecurity #APT #BlueNoroff #SocialEngineering pic.twitter.com/YcbfF4Jj8f
— Kaspersky (@kaspersky) October 28, 2025
Nordkorea hat seit 2024 2,8 Mrd. USD durch Krypto-Hacks erbeutet. BlueNoroff wird in der Forschung als finanziell motiviertes Subcluster der nordkoreanischen Lazarus-Gruppe geführt – dem wohl bestdokumentierten Staats-APT im Krypto-Kontext.
Bereits im Februar hatte das FBI den Rekordraub bei Bybit über rund 1,5 Mrd. US-Dollar dem nordkoreanischen Komplex zugeschrieben. Parallel meldeten Chainalysis-Daten zur Jahresmitte 2025 bereits 2,17 Mrd. US-Dollar an gestohlenen Krypto-Vermögenswerten; mi weiterer Einschätzung, dass die Summe bis Jahresende die Marke von 4 Mrd. US-Dollar überschreiten könnte.
Auch jenseits reiner Finanzangriffe hält die Aktivität an: Zuletzt gab es neue Wellen der Operation DreamJobs gegen europäische Drohnenhersteller – ein Indiz, dass das Ökosystem Lazarus parallel Spionageziele verfolgt.
„GhostCall“ lebt vom perfekten Ablauf: Kontaktaufnahme über Telegram (häufig über kompromittierte Unternehmer-Accounts), Terminierung via Calendly, Meeting-Link auf Zoom-Lookalike-Domains, automatisches Webcam-Recording – und am Ende die Aufforderung, ein „Update“ zu klicken, um vermeintliche Audio-Probleme zu lösen. Wer hier zustimmt, öffnet der DownTroy-Kette die Tür. Kaspersky dokumentiert zudem, dass BlueNoroff zunehmend von Zoom auf Microsoft Teams wechselt, um Vertrautheit auszunutzen.
„GhostHire“ wiederum setzt auf soziale Dynamik in Entwickler-Workflows – GitHub als vermeintlich „natürlicher“ Ort, Deadline-Stress, der Sicherheitsreflexe dämpft, und ein Projekt-Setup, das nach OS-Fingerprinting die passende Malware nachlädt. Auch hier ist die C2-Infrastruktur erkennbar verwoben.
Pia ist Web3- und AI-Enthusiastin. Als studierte Geisteswissenschaftlerin liebt sie es, den Zeitgeist innerhalb der Gesellschaft zu beobachten und zu analysieren. Ehemalig im Think Tank und Forschungszentrum der Frankfurt School of Finance als Bitcoin-Talent und NFT-Talent im Frankfurt Blockchain Center. Wenn sie nicht gerade schreibt, surft sie gerne am Atlantik.
