Die nordkoreanische Bedrohungsgruppe UNC4899 steht unter Verdacht, hinter einem raffinierten Cloud-Angriff gegen eine Kryptowährungsorganisation im Jahr 2025 zu stecken, bei dem Millionen Dollar in Digitalwährungen gestohlen wurden. Die Aktivität wird mit mittlerer Konfidenz der staatlich unterstützten Hackergruppe zugeordnet, die auch unter den Namen Jade Sleet, PUKCHONG, Slow Pisces und TraderTraitor bekannt ist.
Google Cloud dokumentierte die Kampagne in seinem H1 2026 Cloud Threat Horizons Report und betont, dass der Angriff durch eine Kombination aus Social Engineering, Ausnutzung von Peer-to-Peer-Datenübertragungsmechanismen zwischen persönlichen und Corporate Devices sowie Cloud-spezifischen Angriffsmustern (Living-off-the-Cloud-Techniken) charakterisiert wird.
Die Angreifer exploitierten im Cloud-Umfeld legitime DevOps-Workflows, um Anmeldedaten zu stehlen, Container zu durchbrechen und Cloud-SQL-Datenbanken zu manipulieren, um die Kryptowährungsraub zu ermöglichen.
Der Angriff begann mit einer raffinierten Social-Engineering-Kampagne: Angreifer täuschten einen Entwickler vor, ein Archiv-Datei als Bestandteil einer vermeintlichen Open-Source-Zusammenarbeit herunterzuladen. Der Entwickler übertrug die Datei anschließend über AirDrop auf seinen Firmenrechner.
Durch die Nutzung seiner KI-gestützten Entwicklungsumgebung öffnete das Opfer das Archiv und führte versehentlich Python-Code aus, der einen Trojaner startete, der sich als Kubernetes-CLI-Tool tarnte. Diese Binärdatei kontaktierte einen von den Angreifern kontrollierten Server und etablierte eine Backdoor auf dem Unternehmensrechner.
Mit Zugriff auf authentifizierte Sitzungen gelang es den Hackern, in die Google-Cloud-Umgebung einzudringen. Sie erkundeten das System systematisch und identifizierten einen Bastion-Host. Durch die Deaktivierung der Multi-Faktor-Authentifizierung (MFA) verschafften sie sich erweiterten Zugang und navigierten durch die Kubernetes-Infrastruktur.
Im nächsten Schritt implementierten sie persistente Zugriffsmechanismen, indem sie Kubernetes-Deployment-Konfigurationen so modifizierten, dass automatisch ein Backdoor-Skript ausgeführt wird, wenn neue Container-Instanzen gestartet werden.
Google warnt, dass dieser Vorfall die kritischen Risiken von Peer-to-Peer-Datenübertragungen zwischen privaten und Unternehmensgeräten sowie unsichere Cloud-Konfigurationen verdeutlicht. Das Unternehmen empfiehlt Organisationen, mehrstufige Schutzmaßnahmen einzuführen: kontextabhängigen Zugriff mit Phishing-resistenter MFA zu implementieren, nur vertrauenswürdige Container-Images einzusetzen, kompromittierte Systeme zu isolieren, verdächtige Container-Prozesse zu überwachen, ein robustes Secrets-Management aufzubauen und Richtlinien zur Einschränkung von AirDrop-, Bluetooth- und externen Speichertransfers auf Unternehmensgeräten durchzusetzen.