Kaspersky über BlueNoroff-Kampagnen „GhostCall“ und „GhostHire“: VC-Fake-Calls, Telegram-Nachrichten und vermeintlichen GitHub-Tests. Was du wissen musst.
Nordkoreas Elite-Hacker perfektionieren ihren Scams: Mit präparierten Video-Calls, Telegram-Anschreiben und generativer KI dringt BlueNoroff in die Wallets ein. Die neuen Kampagnen „GhostCall“ und „GhostHire“ zeigen, wie Social Engineering 2025 aussieht und wie du dich dagegen schützen kannst.
“GhostCall”: Imitierte VC-Calls
Kasperskys Analyst:innen präsentierten auf dem Security Analyst Summit 2025 zwei laufende BlueNoroff-Kampagnen: „GhostCall“ und „GhostHire“. Beide zielen direkt auf die Krypto-Industrie und liefen mindestens seit April 2025, mit Opfern in Indien, der Türkei, Australien sowie mehreren Ländern in Europa und Asien.
„GhostCall“ wirkt banal, aber scheint effektiv: Angreifer melden sich via Telegram als vermeintliche Venture-Capital-Investoren, laden zu einem Meeting und führen die Zielperson auf täuschend echt gestaltete Zoom-Imitat-Seiten. Dort laufen keine Deepfakes, sondern zuvor heimlich aufgezeichnete Videos echter Opfer, um Live-Charakter zu simulieren. Irgendwann „hakt“ der Ton – und das Opfer wird zu einem „Update“ gedrängt. Hinter dem Klick steckt ein AppleScript/Installer, der die Infektionskette lostritt.
Technisch sprechen die Kampagnen eine breite Plattform-Zielgruppe an: Die Delivery-Stufe wählt je nach User-Agent das passende Script für Windows (PowerShell), Linux (bash) oder macOS (AppleScript) und lädt identische Payloads nach. Kaspersky beschreibt unter anderem die Loader-Familie „DownTroy“ und nachgelagerte Backdoors („RooTroy“, „RealTimeTroy“), die systemweit Informationen sammeln – von Wallet-Dateien über Keychain-Daten bis hin zu DevOps-Secrets und Messenger-Inhalten.
„GhostHire“: Gefälschte Job-Tests auf GitHub
Die zweite Kampagne „GhostHire“ tarnt sich als Recruiting-Prozess. Nach kurzem Screening wird das „Talent“ in einen Telegram-Bot geladen, der Zip-Archive oder GitHub-Repos mit einer 30-Minuten-Deadline verschickt: „Bitte schnell bauen – Zeit läuft.“ Wer den manipulierten Code ausführt, installiert den gleichen Malware-Stack wie bei „GhostCall“. Das schafft eine gemeinsame Infrastruktur und TTP-Signatur über beide Kampagnen hinweg.
Kaspersky betont, BlueNoroff nutze generative KI, um Scripte zu verfeinern und Angriffe produktiver aufzuziehen – unter anderem erkennbar an spezifischen, KI-typischen Kommentarmustern in den Stealer-Modulen.
BlueNoroff’s „GhostCall“ and „GhostHire“ target crypto and Web3 with fake calls and job offers to steal millions. Stay safe—learn more on Securelist: https://t.co/cVzvOugqWJ #CyberSecurity #APT #BlueNoroff #SocialEngineering pic.twitter.com/YcbfF4Jj8f
— Kaspersky (@kaspersky) October 28, 2025
BlueNoroff: Teil der Lazarus-Group
Nordkorea hat seit 2024 2,8 Mrd. USD durch Krypto-Hacks erbeutet. BlueNoroff wird in der Forschung als finanziell motiviertes Subcluster der nordkoreanischen Lazarus-Gruppe geführt – dem wohl bestdokumentierten Staats-APT im Krypto-Kontext.
Bereits im Februar hatte das FBI den Rekordraub bei Bybit über rund 1,5 Mrd. US-Dollar dem nordkoreanischen Komplex zugeschrieben. Parallel meldeten Chainalysis-Daten zur Jahresmitte 2025 bereits 2,17 Mrd. US-Dollar an gestohlenen Krypto-Vermögenswerten; mi weiterer Einschätzung, dass die Summe bis Jahresende die Marke von 4 Mrd. US-Dollar überschreiten könnte.
Auch jenseits reiner Finanzangriffe hält die Aktivität an: Zuletzt gab es neue Wellen der Operation DreamJobs gegen europäische Drohnenhersteller – ein Indiz, dass das Ökosystem Lazarus parallel Spionageziele verfolgt.
Fazit
„GhostCall“ lebt vom perfekten Ablauf: Kontaktaufnahme über Telegram (häufig über kompromittierte Unternehmer-Accounts), Terminierung via Calendly, Meeting-Link auf Zoom-Lookalike-Domains, automatisches Webcam-Recording – und am Ende die Aufforderung, ein „Update“ zu klicken, um vermeintliche Audio-Probleme zu lösen. Wer hier zustimmt, öffnet der DownTroy-Kette die Tür. Kaspersky dokumentiert zudem, dass BlueNoroff zunehmend von Zoom auf Microsoft Teams wechselt, um Vertrautheit auszunutzen.
„GhostHire“ wiederum setzt auf soziale Dynamik in Entwickler-Workflows – GitHub als vermeintlich „natürlicher“ Ort, Deadline-Stress, der Sicherheitsreflexe dämpft, und ein Projekt-Setup, das nach OS-Fingerprinting die passende Malware nachlädt. Auch hier ist die C2-Infrastruktur erkennbar verwoben.
next