Wie EncryptHub Web3-Entwickler täuscht, um Info-Schätze zu ergaunern
Die finanziell motivierte Hackergruppe EncryptHub – auch bekannt unter den Namen LARVA-208 und Water Gamayun – steht hinter einer neuen Angriffskampagne, die mit raffinierten Social-Engineering-Methoden und KI gezielt Web3-Entwickler ins Visier nimmt, um sie mit Stealer-Malware zu infizieren. Auf diese Weise greift sie Krypto-Assets und Entwicklerdaten ab.
„Die Hackergruppe LARVA-208 hat ihre Taktik geändert“, erklärt das schweizerische Cybersicherheitsunternehmen PRODAFT. „Sie setzt inzwischen auf gefälschte KI-Plattformen wie etwa Norlax AI, das so aussieht wie der echte Dienst Teampilot. Darüber locken die Angreifer ihre Opfer mit angeblichen Jobangeboten oder der Bitte, ein Portfolio zu bewerten.“
Die Gruppe war bislang vor allem für Ransomware-Angriffe bekannt, doch neue Erkenntnisse zeigen: Sie setzt zunehmend auf Datenklau mit Hilfe sogenannter Stealer-Malware, um Krypto-Wallets und Zugangsdaten auszuspähen. Das ist Teil einer neuen Strategie, mit der die Gruppe auf unterschiedliche Weise Gelder abräumt.
Web3-Entwickler im Fadenkreuz
Web3-Entwickler sind dabei ein besonders lohnendes Ziel. Sie verwalten oft digitale Geldbörsen, haben Zugriff auf Smart Contracts oder arbeiten mit sensiblen Testsystemen. Viele von ihnen sind Freelancer oder in mehreren dezentralen Projekten tätig – das macht sie schwerer zu schützen, weil klassische Sicherheitslösungen in Unternehmen hier kaum greifen. Genau diese Kombination aus hohem Wert und schwachem Schutz macht die Entwickler zu idealen Opfern.
Die Angriffe laufen meist so ab: Die Hacker leiten die Zielpersonen auf gefälschte KI-Plattformen und bringen sie dazu, auf einen angeblichen Meeting-Link zu klicken – etwa im Rahmen eines vorgetäuschten Vorstellungsgesprächs.
Social Engineering mit System
Die angeblichen Meeting-Links werden gezielt an Entwickler verschickt, die sich auf Plattformen wie X oder Telegram für Inhalte rund um Web3 und Blockchain interessieren. Der Vorwand: ein Bewerbungsgespräch oder eine Portfolio-Besprechung. Auch Bewerberinnen und Bewerber, die sich auf Stellenanzeigen der Angreifer auf der Web3-Jobplattform Remote3 gemeldet haben, erhalten solche Links.
Besonders auffällig ist, wie geschickt die Angreifer dabei die Sicherheitswarnungen von Remote3 umgehen. Denn die Plattform weist ausdrücklich darauf hin, keine unbekannte Videokonferenz-Software herunterzuladen. Um diese Warnung zu unterlaufen, starten die Täter das Gespräch zunächst seriös über Google Meet. Erst im Verlauf des Gesprächs fordern sie das Opfer dann auf, das Interview auf Norlax AI fortzusetzen.
Unabhängig davon, wie der Link übermittelt wird – sobald das Opfer ihn anklickt, soll es eine E-Mail-Adresse und einen Einladungscode eingeben. Danach erscheint eine Fehlermeldung, die auf veraltete oder fehlende Audiotreiber hinweist.
Wer auf diese Meldung klickt, lädt in Wahrheit Schadsoftware herunter, die sich als echter Realtek HD Audio-Treiber ausgibt. Im Hintergrund führt diese Software PowerShell-Befehle aus, um den Fickle Stealer nachzuladen und zu starten. Die gestohlenen Informationen – darunter Zugangsdaten, Wallet-Inhalte und Projektdaten – werden anschließend an einen externen Server mit dem Codenamen SilentPrism übertragen.
„Die Angreifer verbreiten Infostealer wie Fickle über gefälschte KI-Anwendungen und schaffen es damit, Krypto-Wallets, Zugangsdaten von Entwicklern und sensible Projektdaten zu stehlen“, so PRODAFT.
Neue Ransomware-Varianten setzen auf Tarnung und Effizienz
Parallel zu den Erkenntnissen rund um EncryptHub hat Trustwave SpiderLabs eine neue Ransomware-Variante namens KAWA4096 analysiert. Sie orientiert sich im Stil deutlich an der Akira–Ransomware-Gruppe und nutzt ein Lösegeldschreiben, das stark an das der Gruppe Qilin erinnert – offenbar ein Versuch, sich mehr Sichtbarkeit und Glaubwürdigkeit in der Cybercrime-Szene zu verschaffen.
KAWA4096 wurde erstmals im Juni 2025 beobachtet und soll bisher elf Unternehmen angegriffen haben – die meisten davon in den Vereinigten Staaten und in Japan. Über welchen Weg sich die Angreifer Zugang zu den Netzwerken verschafft haben, ist bislang nicht bekannt.
Besonders auffällig an KAWA4096 ist die Fähigkeit, Dateien auf gemeinsam genutzten Netzlaufwerken zu verschlüsseln, sowie der Einsatz von Multithreading-Technik, um die Angriffe schneller und effizienter durchzuführen.
„Sobald die Ransomware gültige Dateien identifiziert hat, legt sie diese in einer gemeinsamen Warteschlange ab“, erklären die Sicherheitsanalysten Nathaniel Morales und John Basmayor. „Diese Warteschlange wird von mehreren Worker-Threads abgearbeitet. Jeder Thread ruft Dateipfade ab und übergibt sie an die Verschlüsselungsroutine. Eine spezieller Mechanismus dient zur Synchronisation der Threads und sorgt dafür, dass die Dateiverarbeitung reibungslos und effizient abläuft.“
Crux-Ransomware tarnt sich mit Systemprozessen
Ein weiterer Neuzugang in der Ransomware-Landschaft ist Crux. Die Schadsoftware wurde bei drei Vorfällen am 4. und 13. Juli 2025 entdeckt und gibt sich selbst als Teil der bekannten Gruppe BlackByte aus.
In einem der Fälle konnten die Angreifer mithilfe gültiger Zugangsdaten über das Remote Desktop Protocol (RDP) in das Zielnetzwerk eindringen. Allen Angriffen gemeinsam ist der Einsatz legitimer Windows-Systemprogramme wie svchost.exe und bcdedit.exe, um schädliche Befehle zu verbergen und die Boot-Konfiguration des Systems zu manipulieren – mit dem Ziel, Wiederherstellungsfunktionen zu unterdrücken.
„Die Angreifer bevorzugen ganz offensichtlich legitime Prozesse wie bcdedit.exe und svchost.exe“, so Huntress. „Deshalb ist es wichtig, diese Prozesse kontinuierlich mithilfe von Endpoint Detection and Response (EDR) auf ungewöhnliches Verhalten zu überwachen, um potenzielle Bedrohungen frühzeitig zu erkennen.“
KI und Social Engineering als gefährliche Mischung
Die Kampagne von EncryptHub zeigt, wie geschickt Angreifer moderne Technologien und psychologische Täuschung kombinieren. Dabei setzt die Gruppe zunehmend auf alternative Einnahmequellen – etwa durch das Abgreifen und Weiterverkaufen wertvoller Daten und Zugangsinformationen auf illegalen Marktplätzen.
Web3-Entwickler – oft schwer greifbar durch dezentrale Arbeitsformen – sind ein attraktives Ziel. Die Kombination aus gefälschten Plattformen, täuschend echten Bewerbungsprozessen und technischer Raffinesse stellt eine ernsthafte Bedrohung für das gesamte Krypto-Ökosystem dar.