\u201eGhostCall\u201c wirkt banal, aber scheint effektiv: Angreifer melden sich via Telegram als vermeintliche Venture-Capital-Investoren, laden zu einem Meeting und f\u00fchren die Zielperson auf t\u00e4uschend echt gestaltete Zoom-Imitat-Seiten. Dort laufen keine Deepfakes, sondern zuvor heimlich aufgezeichnete Videos echter Opfer, um Live-Charakter zu simulieren. Irgendwann \u201ehakt\u201c der Ton \u2013 und das Opfer wird zu einem \u201eUpdate\u201c gedr\u00e4ngt. Hinter dem Klick steckt ein AppleScript\/Installer, der die Infektionskette lostritt.<\/p>\n
Technisch sprechen die Kampagnen eine breite Plattform-Zielgruppe an: Die Delivery-Stufe w\u00e4hlt je nach User-Agent das passende Script f\u00fcr Windows (PowerShell), Linux (bash) oder macOS (AppleScript) und l\u00e4dt identische Payloads nach. Kaspersky beschreibt unter anderem die Loader-Familie \u201eDownTroy\u201c und nachgelagerte Backdoors (\u201eRooTroy\u201c, \u201eRealTimeTroy\u201c), die systemweit Informationen sammeln \u2013 von Wallet<\/a>-Dateien \u00fcber Keychain-Daten bis hin zu DevOps-Secrets und Messenger-Inhalten.<\/p>\n Die zweite Kampagne \u201eGhostHire\u201c tarnt sich als Recruiting-Prozess. Nach kurzem Screening wird das \u201eTalent\u201c in einen Telegram-Bot geladen, der Zip-Archive oder GitHub-Repos mit einer 30-Minuten-Deadline verschickt: \u201eBitte schnell bauen \u2013 Zeit l\u00e4uft.\u201c Wer den manipulierten Code ausf\u00fchrt, installiert den gleichen Malware-Stack wie bei \u201eGhostCall\u201c. Das schafft eine gemeinsame Infrastruktur und TTP-Signatur \u00fcber beide Kampagnen hinweg.<\/p>\n Kaspersky betont, BlueNoroff nutze generative KI, um Scripte zu verfeinern und Angriffe produktiver aufzuziehen \u2013 unter anderem erkennbar an spezifischen, KI-typischen Kommentarmustern in den Stealer-Modulen.<\/p>\n BlueNoroff’s „GhostCall“ and „GhostHire“ target crypto and Web3 with fake calls and job offers to steal millions. Stay safe\u2014learn more on Securelist: https:\/\/t.co\/cVzvOugqWJ<\/a> #CyberSecurity<\/a> #APT<\/a> #BlueNoroff<\/a> #SocialEngineering<\/a> pic.twitter.com\/YcbfF4Jj8f<\/a><\/p>\n \u2014 Kaspersky (@kaspersky) October 28, 2025<\/a><\/p><\/blockquote>\n Nordkorea hat seit 2024 2,8 Mrd. USD durch Krypto-Hacks erbeutet<\/a>. BlueNoroff wird in der Forschung als finanziell motiviertes Subcluster der nordkoreanischen Lazarus-Gruppe gef\u00fchrt \u2013 dem wohl bestdokumentierten Staats-APT im Krypto-Kontext.<\/p>\n Bereits im Februar hatte das FBI den Rekordraub bei Bybit \u00fcber rund 1,5 Mrd. US-Dollar<\/a> dem nordkoreanischen Komplex zugeschrieben. Parallel meldeten Chainalysis-Daten<\/a> zur Jahresmitte 2025 bereits 2,17 Mrd. US-Dollar an gestohlenen Krypto-Verm\u00f6genswerten; mi weiterer Einsch\u00e4tzung, dass die Summe bis Jahresende die Marke von 4 Mrd. US-Dollar \u00fcberschreiten k\u00f6nnte.<\/p>\n Auch jenseits reiner Finanzangriffe h\u00e4lt die Aktivit\u00e4t an: Zuletzt gab es neue Wellen der Operation DreamJobs gegen europ\u00e4ische Drohnenhersteller \u2013 ein Indiz, dass das \u00d6kosystem Lazarus parallel Spionageziele<\/a> verfolgt.<\/p>\n \u201eGhostCall\u201c lebt vom perfekten Ablauf: Kontaktaufnahme \u00fcber Telegram (h\u00e4ufig \u00fcber kompromittierte Unternehmer-Accounts), Terminierung via Calendly, Meeting-Link auf Zoom-Lookalike-Domains, automatisches Webcam-Recording \u2013 und am Ende die Aufforderung, ein \u201eUpdate\u201c zu klicken, um vermeintliche Audio-Probleme zu l\u00f6sen. Wer hier zustimmt, \u00f6ffnet der DownTroy-Kette die T\u00fcr. Kaspersky dokumentiert zudem, dass BlueNoroff zunehmend von Zoom auf Microsoft Teams wechselt, um Vertrautheit auszunutzen.<\/p>\n \u201eGhostHire\u201c wiederum setzt auf soziale Dynamik in Entwickler-Workflows \u2013 GitHub als vermeintlich \u201enat\u00fcrlicher\u201c Ort, Deadline-Stress, der Sicherheitsreflexe d\u00e4mpft, und ein Projekt-Setup, das nach OS-Fingerprinting die passende Malware nachl\u00e4dt. Auch hier ist die C2-Infrastruktur erkennbar verwoben.<\/p>\n\u201eGhostHire\u201c: Gef\u00e4lschte Job-Tests auf GitHub<\/h2>\n
\n
BlueNoroff: Teil der Lazarus-Group<\/h2>\n
![\"\"](\"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/10\/cryptocrime-227x300.png\")
<\/p>\nFazit<\/h2>\n