Direkt zum Hauptinhalt

Gefälschte CEOs auf Zoom: Wie Nordkoreas Deepfake-Kampagnen Krypto-Wallets leeren

· 8 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Ein Mitbegründer von Polygon stellt fest, dass Fremde ihn fragen, ob er wirklich mit ihnen in einem Zoom-Call ist. Ein Organisator der BTC Prague beobachtet, wie eine überzeugende KI-generierte Replik eines bekannten Krypto-CEOs auf dem Bildschirm erscheint, nur um dann aufgefordert zu werden, einen „schnellen Audio-Fix“ durchzuführen. Ein Gründer eines KI-Startups entgeht einer Infektion, indem er auf Google Meet besteht – und die Angreifer verschwinden. Dies sind keine Szenen aus einem Cyberpunk-Thriller. Sie ereigneten sich Anfang 2026 und haben einen gemeinsamen Nenner: Nordkoreas sich rasant entwickelnde Deepfake-Social-Engineering-Maschinerie.

Von Protokoll-Exploits zu menschlichen Exploits

Jahrelang bestanden die schlimmsten Albträume der Krypto-Branche aus Smart-Contract-Fehlern und Bridge-Schwachstellen. Die nordkoreanische Lazarus Group – und ihre Untergruppen wie UNC1069 – lieferte prompt und verübte spektakuläre Raubzüge wie den 620-Millionen-Dollar-Exploit des Ronin-Netzwerks im Jahr 2022 und den 1,5-Milliarden-Dollar-Einbruch bei der Bybit-Börse im Februar 2025. Doch während die Branche massiv Ressourcen in Code-Audits, formale Verifizierung und Bug-Bounties gesteckt hat, hat Pjöngjang im Stillen umgeschwenkt.

Der Wandel wurde Ende 2025 unverkennbar. Laut Chainalysis stahlen mit Nordkorea verbundene Akteure im Jahr 2025 digitale Vermögenswerte im Wert von 2,02 Milliarden US-Dollar – ein Anstieg von 51 % gegenüber den 1,34 Milliarden US-Dollar im Jahr 2024. Operationen der DVRK machen mittlerweile rund 76 % aller weltweiten Kompromittierungen von Krypto-Diensten aus, wodurch die kumulative Schätzung der nordkoreanischen Krypto-Diebstähle die Marke von 6,75 Milliarden US-Dollar überschritten hat.

Doch die eigentliche Geschichte ist nicht nur die Dollar-Summe – es ist die Methode. Social Engineering, angetrieben durch KI-generierte Deepfakes, hat sich zum primären Angriffsvektor entwickelt und übertrifft zum ersten Mal Smart-Contract-Exploits.

Ein Blick in das Deepfake-Zoom-Playbook

Die Mandiant-Abteilung von Google Cloud veröffentlichte im Februar 2026 einen detaillierten Bericht, der eine Welle von Deepfake-Videoanruf-Angriffen der Gruppe UNC1069 zuschrieb, einer finanziell motivierten Bedrohungsgruppe mit hoher Wahrscheinlichkeit für Verbindungen zu Nordkorea. UNC1069 wird seit 2018 beobachtet und schwenkte ab 2023 von Spear-Phishing und dem Visieren des traditionellen Finanzwesens auf die Web3-Branche um.

Das Angriffs-Playbook folgt einem beunruhigend effektiven Muster:

  • Schritt 1 – Kompromittierung einer vertrauenswürdigen Identität. Angreifer verschaffen sich Zugriff auf das Telegram-Konto oder LinkedIn-Profil einer Krypto-Führungskraft. In einem dokumentierten Fall kaperten sie das Konto eines bekannten Krypto-CEOs und nutzten es, um sekundäre Ziele zu kontaktieren.

  • Schritt 2 – Einen Termin vereinbaren. Das Opfer erhält eine scheinbar legitime Termineinladung, oft über Calendly, für einen 30-minütigen Videoanruf. Der Link leitet jedoch auf eine überzeugende Zoom-Look-alike-Domain weiter.

  • Schritt 3 – Einsatz des Deepfakes. Wenn das Opfer beitritt, sieht es einen KI-generierten Video-Feed einer bekannten Branchenfigur – eines VC-Partners, eines Mitgründers oder des CEOs eines Portfoliounternehmens. Der Deepfake ist überzeugend genug, um einer kurzen visuellen Prüfung standzuhalten.

  • Schritt 4 – Auslösen der ClickFix-Infektion. Der Angreifer täuscht Audioprobleme vor und bittet das Opfer, einen „Quick Fix“ auszuführen – typischerweise einen Terminal-Befehl auf macOS oder ein PowerShell-Skript auf Windows. Dies ist die ClickFix-Technik: Eine Social-Engineering-Methode, die Opfer dazu verleitet, ihre eigenen Rechner zu infizieren und dabei traditionelle Sicherheitskontrollen vollständig zu umgehen.

Die ClickFix-Waffe: Sieben Malware-Familien und es werden mehr

ClickFix hat sich im Jahr 2026 zu einer der effektivsten Techniken zur Verbreitung von Malware entwickelt, gerade weil es eher Vertrauen als Technologie ausnutzt. Das Opfer führt den bösartigen Befehl bereitwillig aus, im Glauben, eine banale technische Störung zu beheben.

Mandiants Untersuchung ergab, dass UNC1069 mindestens sieben einzigartige Malware-Familien über diesen Vektor verbreitet, darunter bisher undokumentierte Tools:

  • SILENCELIFT – ein Host-Erkennungstool, das Systemdaten und Krypto-Wallet-Konfigurationen erfasst
  • DEEPBREATH – ein Persistenzmodul, das darauf ausgelegt ist, Neustarts zu überstehen und den Backdoor-Zugriff aufrechtzuerhalten
  • CHROMEPUSH – ein auf Browser ausgerichteter Payload, der gespeicherte Anmeldedaten und Krypto-Erweiterungsdaten aus über 25 Browsern extrahiert
  • BIGMACHO – eine macOS-spezifische Backdoor, die über Deepfake-Video-Köder verbreitet wird

Diese Tools zielen auf 103 Chrome-Krypto-Erweiterungen ab, darunter MetaMask, Exodus und Trust Wallet. Der macOS-Fokus der Kampagne ist bewusst gewählt – Krypto-Gründer und -Entwickler nutzen überproportional häufig Apple-Hardware, und fast jeder im Umlauf befindliche macOS-Stealer priorisiert den Diebstahl von Krypto-Wallets vor allen anderen Zielen.

Echte Gründer, knappe Auswege

Die menschlichen Geschichten hinter diesen Angriffen verdeutlichen sowohl die Raffinesse als auch die Verwundbarkeit.

Sandeep Nailwal, Mitbegründer von Polygon, schlug öffentlich Alarm, als ihn mehrere Kontakte über Telegram fragten, ob er gerade mit ihnen in einem Zoom-Call sei. Angreifer hatten einen Deepfake von Nailwal verwendet, um simultane gefälschte Meetings mit mehreren Zielen durchzuführen und dabei seinen Ruf als bekannte Branchenfigur auszunutzen.

Martin Kuchař, Mitbegründer der BTC Prague, wurde über ein kompromittiertes Telegram-Konto und einen inszenierten Videoanruf ins Visier genommen, der darauf ausgelegt war, Malware getarnt als Zoom-Audio-Fix zu verbreiten. Die Raffinesse des Setups – von der legitim wirkenden Kalendereinladung bis hin zum Echtzeit-Deepfake-Video – unterstrich, wie weit sich diese Kampagnen über einfache Phishing-E-Mails hinaus entwickelt haben.

Eugene Vyborov, CEO von Ability AI, lieferte ein Musterbeispiel dafür, wie man einen Versuch übersteht. Als die Angreifer ihn auf eine gefälschte Zoom-„Hilfeseite“ mit auszuführenden Terminal-Befehlen umleiteten, brach er den Kontakt ab und bestand darauf, zu Google Meet zu wechseln. Die Angreifer lehnten dies unter Berufung auf „Unternehmensrichtlinien“ ab und löschten daraufhin prompt die gesamte Telegram-Konversation – ein untrügliches Zeichen für den geskripteten Charakter der Operation.

KI als Schwert und Schild zugleich

Was diese neue Generation von Angriffen besonders besorgniserregend macht, ist der Einsatz von KI - Tools durch die Angreifer selbst. Laut Untersuchungen der Bedrohungsanalyse von Google wurde beobachtet, dass UNC1069 die Gemini - KI von Google nutzt, um Werkzeuge zu entwickeln, operative Nachforschungen über potenzielle Opfer anzustellen und Deepfake - Bilder sowie - Videos für ihre Kampagnen zu erstellen.

Dies führt zu einem asymmetrischen Wettrüsten. Die Kosten für die Erstellung eines überzeugenden Deepfakes sind drastisch gesunken, während der Aufwand für die Identitätsprüfung in Echtzeit hoch bleibt. Ein Forschungsbericht von Bitget ergab, dass KI - gesteuerte Betrugsmaschen durch Identitätsdiebstahl im Jahr 2025 zu einem Anstieg des Krypto - Betrugs um 4,6 Milliarden US - Dollar beigetragen haben, und die Prognose für 2026 zeigt keine Anzeichen einer Verlangsamung.

Die Auswirkungen gehen über einzelne Zielpersonen hinaus. Wenn Angreifer VC - Investoren, Gründer und Führungskräfte überzeugend imitieren können, beginnt das Vertrauensgefüge zu bröckeln, das Geschäftsabschlüssen, Governance - Abstimmungen und Partnerschaftsverhandlungen zugrunde liegt. Ein einziger erfolgreicher Deepfake - Anruf kann nicht nur eine einzelne Wallet, sondern den Zugriff auf die gesamte Treasury einer Organisation gefährden.

Schutz vor der Deepfake - Bedrohung

Die Reaktion der Krypto - Branche steckt noch in den Kinderschuhen, aber es zeichnen sich mehrere Abwehrmuster ab:

Verifizierung über einen zweiten Kanal. Die effektivste Verteidigung, die bei Vorfällen im Jahr 2026 beobachtet wurde, ist die Out - of - Band - Verifizierung. Bevor Sie eine während eines Videoanrufs angeforderte Aktion ausführen, bestätigen Sie die Identität des Teilnehmers über einen separaten Kommunikationskanal – einen Telefonanruf, eine Signal - Nachricht oder sogar ein vorab vereinbartes Codewort.

Plattformspezifische Forderungen ablehnen. Eugene Vyborovs Beharren auf Google Meet war genau deshalb effektiv, weil die Infrastruktur der Angreifer speziell für ein gefälschtes Zoom entwickelt worden war. Jedes Beharren auf einer bestimmten Plattform, insbesondere in Kombination mit Ausreden über „Unternehmensrichtlinien“, sollte als Warnsignal betrachtet werden.

Niemals Terminal - Befehle während eines Anrufs ausführen. Kein legitimes Geschäftstreffen erfordert, dass Teilnehmer Shell - Befehle ausführen oder Software installieren. Dies gilt unabhängig davon, wer auf dem Bildschirm erscheint. Organisationen sollten explizite Richtlinien festlegen: Teilnehmer von Videoanrufen fordern niemals die Ausführung von Befehlen an.

Hardware - basierte Transaktionssignierung einführen. Hardware - Wallets, die eine physische Bestätigung für Transaktionen erfordern, bleiben immun gegen Deepfake - gesteuerte Software - Kompromittierungen. Multi - Signature - Setups fügen zusätzliche Ebenen hinzu, die durch Social Engineering allein nicht umgangen werden können.

Implementierung der Know Your Agent (KYA) - Verifizierung. Da KI - Agenten zunehmend an Krypto - Operationen teilnehmen, wird die Überprüfung der Identität und Autorisierung sowohl menschlicher als auch automatisierter Teilnehmer entscheidend. Neue KYA - Standards zielen darauf ab, kryptografische Identitätsnachweise der Teilnehmer vor hochwertigen Aktionen zu erbringen.

Was als Nächstes kommt

Die Krypto - Diebstähle Nordkoreas sind kein kriminelles Randphänomen – es handelt sich um ein staatlich gefördertes Programm, das jährlich Milliarden an Einnahmen generiert, Waffenprogramme finanziert und internationale Sanktionen umgeht. Der Schwenk von Protokoll - Exploits hin zum Deepfake - Social - Engineering ist ein strategisches Kalkül: Während sich die Sicherheit von Smart Contracts verbessert, bleibt der Mensch das schwächste Glied.

Die Deepfake - Kampagnen von 2026 offenbaren einen Akteur, der sich schneller anpasst als viele Verteidiger. Die Werkzeuge von UNC1069 werden aktiv mit KI - Unterstützung entwickelt, ihr Malware - Arsenal vergrößert sich stetig und ihre Social - Engineering - Skripte werden mit jedem gescheiterten Versuch verfeinert. Die ClickFix - Varianten – FileFix, JackFix, ConsentFix, CrashFix, GlitchFix –, die sich im Ökosystem verbreiten, deuten darauf hin, dass die Effektivität der Technik über die staatlichen Akteure Nordkoreas hinaus Nachahmer gefunden hat.

Für die Krypto - Branche ist die Lektion klar: Der nächste Milliarden - Dollar - Hack wird vielleicht keine Zeile Solidity ausnutzen. Er könnte mit einem freundlichen Gesicht auf Zoom beginnen, das Sie bittet, Ihre Audioeinstellungen zu korrigieren.

Der Aufbau einer sicheren Blockchain - Infrastruktur beginnt mit zuverlässigen Node - Services und APIs auf Enterprise - Niveau. BlockEden.xyz bietet hochverfügbare RPC - Endpunkte über alle wichtigen Chains hinweg – damit sich Entwickler auf den Bau resistenter Anwendungen konzentrieren können, ohne sich um Schwachstellen in der Infrastruktur sorgen zu müssen.

Share on Twitter