Heute ist der 26.05.2026, und während die Sonne über die Krypto-Landschaft scheint, gibt es ernüchternde Nachrichten aus der Welt der Cyberkriminalität. Die nordkoreanische Hackergruppe Lazarus hat in den ersten vier Monaten dieses Jahres schockierende 577 Millionen Dollar in Kryptowährungen erbeutet. Das ist nicht nur ein kleiner Fisch, sondern macht 76 % aller weltweit gestohlenen Digital-Assets in diesem Zeitraum aus. Wenn man bedenkt, dass die Gesamtbeute der Gruppe seit 2017 auf geschätzte sechs Milliarden Dollar angewachsen ist, wird einem schnell klar, dass wir hier von einem echten Schwergewicht im Bereich der Cyberkriminalität sprechen.
Es scheint, als hätten die Hacker von Lazarus ihre Taktiken verfeinert. Sie setzen verstärkt auf neue Schadsoftware wie den fileless Remote Access Trojan (RAT) namens RemotePE. Dieser Trojaner ist besonders heimtückisch, denn er operiert im Arbeitsspeicher und hinterlässt keine Spuren auf der Festplatte. Die Infektion beginnt in der Regel mit Social Engineering über Telegram, wo sich die Angreifer als Personalvermittler oder Mitarbeiter bekannter Firmen ausgeben. Einmal eingedrungen, nutzt die Malware die Windows Data Protection API (DPAPI) zur Entschlüsselung und ist direkt an das Benutzerkonto des Opfers gebunden.
Die Technik hinter den Angriffen
RemotePELoader stellt eine Verbindung zu Kommando- und Kontrollservern her und schaltet Sicherheitsmechanismen aus – das ist ein echter Albtraum für IT-Sicherheitsprofis. Die Kontrolle über das infizierte System ist dabei komplett in den Händen der Hacker, die die Dateien siebenmal überschreiben, bevor sie sie endgültig löschen. Das sorgt dafür, dass selbst die besten Sicherheitslösungen nicht mehr wissen, wo sie suchen sollen. Und als wäre das nicht genug, erhalten die Angreifer Befehle nur, wenn ein menschlicher Operator aktiv ist, was die Anpassung der Taktiken in Echtzeit ermöglicht.
Die ersten Versionen von RemotePE tauchten bereits im Juli 2023 auf und werden bis ins Frühjahr 2024 kontinuierlich weiterentwickelt. Das ist ein besorgniserregender Trend, der zeigt, dass diese Gruppe nicht nur auf Windows-Systeme abzielt, sondern auch Linux- und macOS-Umgebungen ins Visier nimmt. Im Mai 2026 erlitt der Stablecoin-Emittent StablR einen Exploit, der Schäden in Höhe von 13,5 Millionen Dollar verursachte. Es wird immer klarer: Diese Angriffe sind nicht nur Einzelfälle, sondern Teil einer weitreichenden und gut organisierten Cyberkriminalität.
Empfehlungen zur Abwehr
Was können Unternehmen tun, um sich gegen solche Angriffe zu schützen? Experten empfehlen, eine „Zero-Trust“-Architektur aufzubauen und Mitarbeiter regelmäßig zu schulen. Das klingt vielleicht nach viel Aufwand, aber es könnte sich als die beste Verteidigungslinie herausstellen. Zur Abwehr von RemotePE sind spezielle Speicherüberwachungstools und verhaltensbasierte Erkennungssysteme unverzichtbar. Zudem sollten Multi-Faktor-Authentifizierung und Hardware-Wallets als wirksame Schutzmaßnahmen in Betracht gezogen werden. Die Lazarus Group wird voraussichtlich ihre Dominanz in der Cyberkriminalität weiter ausbauen – und das sollte uns allen zu denken geben.
Aber nicht nur Lazarus ist aktiv. In der Cyberwelt tummeln sich zahlreiche andere Gruppen, die mit ähnlichen Methoden arbeiten. Die „Frozen Spider“ zum Beispiel, die für die Ransomware-as-a-Service (RaaS) Medusa verantwortlich ist, ist seit Ende 2022 aktiv. Auch hier ist kein Sektor oder Land sicher vor Angriffen. Die „Graceful Spider“ nutzt Zero-Day-Schwachstellen, um Daten zu stehlen, während die „Honey Spider“ mit ihrer MaaS Shindig ebenfalls eine Gefahr darstellt. Und die Liste geht weiter: „Vice Spider“, „Revenant Spider“ und viele andere – jede mit ihren eigenen Hintergründen und Zielsetzungen. Es ist fast so, als ob die Cyberkriminalität ein eigenes Ökosystem bildet, in dem sich die Gruppen gegenseitig befruchten.
Die Schattenwelt der Cyberkriminalität ist dynamisch und ständig in Bewegung. Und während wir uns in der Krypto-Welt über neue Technologien und Innovationen freuen, müssen wir uns auch der dunklen Seite bewusst sein, die mit diesen Fortschritten einhergeht. Es ist ein ständiger Kampf zwischen Schutzmaßnahmen und den immer raffinierter werdenden Angriffen. Bleiben wir wachsam – denn in dieser digitalen Ära ist Sicherheit kein Zustand, sondern ein fortwährender Prozess.