Die nordkoreanische APT-Gruppe "Void Dokkaebi", auch bekannt unter dem Namen "Famous Chollima", steht im Zentrum einer neuen Analyse des Sicherheitsunternehmens Trend Micro. Die Untersuchung liefert tiefgreifende Einblicke in die Arbeitsweise der Gruppe, die gezielt russische Internet-Infrastruktur einsetze, um ihre weltweiten Cyberoperationen durchzuführen.
Dabei verfolge die Gruppe eine Doppelstrategie: Sie kombiniert den Diebstahl von Kryptowährungen mit gezielter Industriespionage gegen Technologie- und Energieunternehmen.
Trend Micros Analyse zeigt, dass Russland – insbesondere der Osten des Landes – eine Schlüsselrolle in der Infrastruktur von Void Dokkaebi spielt. Die Gruppe nutze IP-Adressen aus Städten wie Chabarowsk und Chasan, die dem Netzwerkanbieter TransTelecom zugeordnet seien. Diese Verbindung sei von strategischer Bedeutung: TransTelecom stelle seit 2017 eine zweite Internetverbindung für Nordkorea bereit, wodurch der Datenverkehr über Russland geleitet werden kann.
Durch ein komplexes Netz aus VPNs, VPS-Servern, RDP-Verbindungen und Proxys gelingt es den Angreifern, ihre Aktivitäten effektiv zu verschleiern. Die Nutzung russischer Systeme erlaubt es der Gruppe, sowohl geografische Attribution zu erschweren als auch den Zugriff auf westliche Plattformen über kompromittierte Systeme zu realisieren – mit gefälschten Identitäten als Tarnung.
Eine besonders perfide Methode in Void Dokkaebis Arsenal sei die Nutzung von gefälschten Unternehmen, die gezielt IT-Fachkräfte anlocken sollen. Ein prominentes Beispiel ist BlockNovas, ein scheinbar seriöses Unternehmen im Bereich Blockchain-Technologie, so die Analysten. Über professionell gestaltete Webseiten und Social-Media-Profile nehme die Gruppe Kontakt zu Entwickler*innen, insbesondere aus Deutschland, der Ukraine und den USA, auf.
In vermeintlichen Bewerbungsgesprächen oder im Rahmen von Projektanfragen würden die Zielpersonen dazu gebracht, infizierte Dateien zu öffnen. Diese enthalten Schadsoftware, mit der die Angreifer Zugang zu Kryptowährungs-Wallets oder vertraulichen Unternehmensdaten erhalten.
Void Dokkaebi verfolge eine klare Priorität: Der Diebstahl digitaler Währungen. Bleibt dieser jedoch erfolglos, setzt die Gruppe auf Spionage, um Informationen aus den infiltrierten Netzwerken zu gewinnen. Laut Trend Micro wird dabei oft auf legitime Dienste wie Dropbox oder Slack zurückgegriffen, um gestohlene Daten unauffällig zu exfiltrieren.
Die Vielseitigkeit der Angriffe und die flexible Zielsetzung deuten auf eine professionell organisierte und hochgradig adaptierbare Struktur hin, die über reine Cyberkriminalität hinausgeht und staatlich unterstützte Spionageoperationen vermuten lässt.
Trend Micro konnte zudem sieben interne Schulungsvideos der Gruppe analysieren. Diese in brüchigem Englisch produzierten Aufnahmen beinhalten detaillierte Anleitungen zum Aufbau sogenannter Beavertail-C2-Server, Techniken zur Passwortentschlüsselung sowie die Weiterverwendung kompromittierter Systeme als Proxy-Knotenpunkte.
Die Existenz solcher Trainingsinhalte weist darauf hin, dass Void Dokkaebi nicht nur zentral gesteuert wird, sondern offenbar auch externe Kräfte oder "freiberufliche Hacker" für weniger kritische Aufgaben einsetzt. Dies deutet auf eine Art Cybercrime-Outsourcing-Modell hin, das Nordkorea größere operative Flexibilität ermöglicht.
Mit offiziell nur 1.024 IP-Adressen im eigenen Land sei Nordkorea gezwungen, auf alternative Wege zurückzugreifen, um international handlungsfähig zu bleiben. Russische Infrastrukturen bieten dabei nicht nur technische Möglichkeiten, sondern auch eine gewisse politische Schutzfunktion, da Ermittlungen über russisches Territorium oft erschwert werden.
"Wir beobachten zunehmend, dass Bedrohungsakteure KI-Tools wie ChatGPT verwenden, um reale Bewerbungsgespräche zu bestehen", erklärt Feike Hacquebord, Senior Threat Researcher bei Trend Micro. "Es gibt Hinweise, dass auch mit Deepfakes experimentiert wird. Sicherheitsverantwortliche müssen sich auf Szenarien vorbereiten, in denen Angreifer als vermeintlich echte Kandidaten auftreten, um über diesen Weg an Zugangsdaten zu gelangen."
Die neue Analyse von Trend Micro zeichnet ein beunruhigendes Bild: Mit ausgefeilter Infrastruktur, geschicktem Social Engineering und strategischer Ausrichtung agiert Void Dokkaebi nicht nur als Werkzeug der nordkoreanischen Cyber-Agenda, sondern auch als Blaupause für zukünftige hybride Bedrohungen.
Die Kombination aus Spionage, Krypto-Diebstahl und digitaler Täuschung ist ein warnendes Beispiel dafür, wie autoritäre Staaten und ihre Akteure geopolitische Interessen mit Cyberkriminalität verknüpfen.
