Nordkoreas Hackergruppe Lazarus hat mit einem neuen Angriff über eine kritische WinRAR-Schwachstelle bereits 2,02 Milliarden Euro in Kryptowährungen erbeutet. Die Attacke markiert eine gefährliche Taktikänderung des staatlichen Akteurs.

Die nordkoreanische Lazarus-Gruppe nutzt eine kritische Schwachstelle in WinRAR, um den Informationstealer "Blank Grabber" zu verbreiten. Diese neue Kampagne ist Teil einer beispiellosen Jahresoffensive, bei der die Hacker nach aktuellen Berichten im Jahr 2025 Kryptowährungen im Rekordwert von 2,02 Milliarden Euro gestohlen haben. Sicherheitsforscher warnen vor einer strategischen Wende hin zu einfacher, aber wirkungsvoller Schadsoftware.

WinRAR als Einfallstor für Masseninfektion

Die Attacke, die am Wochenende vom National Cyber Security Centre (NCSC) und Qihoo 360 detailliert wurde, nutzt eine Pfad-Traversal-Schwachstelle in der weit verbreiteten Komprimierungssoftware WinRAR. Angreifer verschicken manipulierte RAR-Archive, die als legitime Software-Toolkits oder "Automation Bots" getarnt sind. Beim Öffnen wird automatisch Blank Grabber installiert – ein Open-Source-Informationstealer, der eigentlich mit gewöhnlicher Cyberkriminalität assoziiert wird.

"Diese Taktik ist kalkuliert", erklärt ein Sicherheitsanalyst. "Durch die Nutzung einer handelsüblichen Schadsoftware erschwert Lazarus die Zuordnung der Angriffe, während effektiv die wertvollsten Daten abgegriffen werden: Krypto-Wallet-Seeds, Discord-Tokens und Browser-Zugangsdaten." Das Vorgehen zeigt, wie staatliche Akteure zunehmend auf kostengünstige, massentaugliche Methoden setzen.

So funktioniert der Angriff

Der Infektionsprozess ist für Nutzer kaum erkennbar und verläuft in drei Stufen:
* Köder: Opfer werden über Phishing-E-Mails oder Social Engineering auf Plattformen wie Telegram und LinkedIn dazu gebracht, ein "notwendiges" Software-Update herunterzuladen.
* Exploit: Die schädliche RAR-Datei nutzt die WinRAR-Schwachstelle aus, um Sicherheitsprüfungen zu umgehen. Beim Entpacken wird ein verstecktes Skript ausgeführt.
* Nutzlast: Blank Grabber beginnt sofort mit dem Datendiebstahl. Der Stealer zielt auf über 20 Kryptowährungs-Wallets ab, stiehlt Sitzungs-Cookies aus Chromium-Browsern und überträgt die Daten via Discord-Webhooks – eine Technik, die schädlichen Traffic mit legitimer Anwendungsnutzung vermischt.

Rekordjahr für nordkoreanischen Kryptodiebstahl

Die neue Kampagne fällt in ein außergewöhnliches Jahr für nordkoreanische Cyberoperationen. Die Blockchain-Analysefirma Chainalysis bestätigte am 18. Dezember, dass mit Nordkorea verbundene Hacker allein 2025 mindestens 2,02 Milliarden Euro an Kryptowährungen gestohlen haben. Dieser Wert stellt einen dramatischen Anstieg von 51 Prozent gegenüber 2024 dar und macht den Großteil des gesamten Branchendiebstahls von 3,4 Milliarden Euro aus.

"Das ist das schlimmste Jahr in Bezug auf den Wert des gestohlenen Kryptoguts", so Chainalysis. Die Anzahl einzelner Angriffe sei zwar gesunken, doch der Wert jedes einzelnen Raubzugs habe sich vervielfacht. Die Gruppe konzentriere sich gezielt auf hochwertige Ziele wie zentralisierte Börsen und Venture-Capital-Firmen.

Taktische Evolution mit multiplen Angriffsvektoren

Die WinRAR-Kampagne ist nur ein Teil einer breiten Offensive, die in den letzten 72 Stunden beobachtet wurde:
* Fake-Job-Angebote: Am 18. Dezember dokumentierte Darktrace eine neue Variante des Lazarus-Malware-Stammes "BeaverTail", der sich gezielt an Entwickler und IT-Experten richtet. Die Schadsoftware versteckt sich in bösartigen npm-Paketen und VS-Code-Erweiterungen und erfasst Tastatureingaben sowie Zwischenablage-Daten – speziell auf der Suche nach Krypto-Wallet-Schlüsseln.
* Infrastruktur-Ausbau: Ein separater Bericht von Acronis Threat Research identifizierte neue globale Infrastruktur der Lazarus-Gruppe, die eine verbesserte Version des BLINDINGCAN Remote Access Trojaners (RAT) einsetzt.

Was bedeutet das für Unternehmen?

Die parallelen Berichte zeichnen ein düsteres Bild für das kommende Jahr. Lazarus demonstriert bemerkenswerte Anpassungsfähigkeit: Gleichzeitig laufen Social-Engineering-Kampagnen, komplexe Supply-Chain-Angriffe und opportunistische Ausnutzung verbreiteter Software.

"Der Wechsel zu Standard-Malware wie Blank Grabber deutet auf den Wunsch hin, Operationen kostengünstig zu skalieren", erklärt ein Threat-Intelligence-Spezialist. "Das ermöglicht es ihren Elite-Entwicklern, sich auf hochwertige Exploits zu konzentrieren, während automatisierte Tools die Massenerfassung von Zugangsdaten übernehmen."

Sicherheitsexperten drängen Unternehmen, insbesondere im Web3- und Finanzsektor, zu erhöhter Wachsamkeit. Zu den dringenden Maßnahmen gehören:
* WinRAR aktualisieren: Alle Instanzen müssen auf die neueste Version gepatcht werden.
* Verhaltensüberwachung: Endpoint-Detection-Systeme sollten spezifische Aktivitäten von Informationstealern erkennen können.
* Strikte Verifizierung: Die Identität von "Personalern" oder "Entwicklern" in sozialen Netzwerken muss streng überprüft werden.

Zum Jahresende 2025 hat sich die Lazarus-Gruppe als unangefochtener Spitzenprädator der Kryptowelt etabliert – mit einem Werkzeugkasten, der so vielfältig wie gefährlich ist.