Die Sicherheitsexperten von Expel haben tiefe Einblicke in eine der raffiniertesten Kampagnen nordkoreanischer Hacker gewonnen. Die Untersuchung begann im Oktober 2025, als Hutchins eine BeaverTail-Malware-Infektion in einem Kundenetzwerk analysierte. Diese Malware war bereits von anderen Sicherheitsfirmen mit nordkoreanischen Akteuren verbunden worden.
Die Recherchen führten die Sicherheitsforscher zu der Infrastruktur der Angreifer und offenbarten eine hochorganisierte Operation mit mindestens 31 Hackern, verteilt auf sechs verschiedene Teams. Die Gruppe setzte eine Kombination aus drei Malware-Varianten ein: BeaverTail, OtterCookie und InvisibleFerret. Diese Programme sind spezialisiert darauf, Anmeldedaten aus Passwort-Managern, macOS Keychain und anderen sensitiven Speichern zu extrahieren.
Besonders beachtlich ist die Raffinesse bei der Rekrutierung von Opfern. Die Hacker postierten sich auf LinkedIn als Recruiter etablierter Unternehmen und kontaktierten Web3-Entwickler mit attraktiven Jobangeboten. Im nächsten Schritt wurden potenzielle Opfer aufgefordert, ein angebliches “Codierungs-Bewertungstool” herunterzuladen – die eigentliche Malware-Infektionsvektoren.
Die Nutzung von generativer KI durch die Hacker ist ein Warnsignal für die gesamte Industrie. Die Angreifer setzten KI-Systeme nicht nur zur Optimierung ihres Malware-Codes ein, sondern auch zur Erstellung überzeugender gefälschter Unternehmensprofile und LinkedIn-Accounts. Dies erhöht die Effektivität ihrer Social-Engineering-Anschläge erheblich.
Martin Hutchins deutet auf den wirtschaftlichen Druck hin, der hinter dieser Strategie steckt. Die Massenentlassungen in der Tech-Industrie der letzten vier Jahre haben Entwickler verzweifelt auf Jobsuche getrieben, was sie anfälliger für solche Angebote macht. “Mit Hunderten oder Tausenden von Bewerbungen, die keine Reaktion erhalten, lassen Entwickler ihre Wachsamkeit sinken, wenn endlich ein echtes Angebot kommt”, so Hutchins.
Die HexagonalRodent-Kampagne steht nicht isoliert. Microsoft identifizierte parallel eine nordkoreanische Operation, die macOS-Nutzer ins Visier nahm. Eine andere Gruppe nutzte gefälschte Meetings als Angriffsvektoren – ebenfalls mit Fokus auf macOS-Systeme.
Für deutsche Entwickler und Unternehmen ist dies ein klares Signal: Vorsicht bei unerwarteten Jobangeboten, insbesondere wenn schnell ein Tool-Download gefordert wird. Sicherheitsbehörden und Unternehmens-IT sollten ihre Sicherheitsrichtlinien für Remote-Arbeit überprüfen und Mitarbeiter sensibilisieren.