Eine chinesische Hackergruppe hat durch Manipulation von Wallet-Software und Browser-Erweiterungen digitale Vermögenswerte im Wert von sieben Millionen US-Dollar gestohlen. Die als Cybersicherheitsunternehmen getarnte Gruppe nutzte Supply-Chain-Angriffe auf Electron-basierte Clients und Wallet-Plugins, um unbemerkt auf Nutzerdaten zuzugreifen. Erst interne Streitigkeiten brachten die ausgeklügelte Operation ans Licht, die über mehrere Monate hinweg unentdeckt blieb und Hunderte von Krypto-Nutzern weltweit betraf.
Professionelle Tarnung als Sicherheitsanbieter
Hinter dem offiziell als “Wuhan Anshun Technology” registrierten Unternehmen verbarg sich eine Hackergruppe, die gezielt Schwachstellen in Software-Lieferketten ausnutzte. Die Angreifer entwickelten komplexe Tools zur Manipulation von Browser-Erweiterungen und Desktop-Wallets. Durch Reverse-Engineering und ferngesteuerte Programme verschafften sie sich Zugang zu privaten Schlüsseln und Wallet-Daten ihrer Opfer.
Das Unternehmen präsentierte sich nach außen als legitimer Cybersecurity-Anbieter mit professioneller Website, Geschäftsregistrierung und sogar Kundenreferenzen. Diese Tarnung ermöglichte es der Gruppe, Vertrauen bei Entwicklern und Software-Distributoren aufzubauen. Sie boten scheinbar kostenlose Sicherheits-Audits und Code-Reviews an, um Zugang zu kritischen Software-Komponenten zu erhalten. Über diese Kanäle konnten sie ihre Malware in vertrauenswürdige Anwendungen einschleusen.
Angriffsmethoden zielen auf vertrauenswürdige Software
Die Hacker konzentrierten sich auf Electron-basierte Wallet-Anwendungen und Browser-Plugins, da diese oft als vertrauenswürdig gelten. Nutzer bekannter Anbieter wie Trust Wallet, MetaMask-ähnliche Erweiterungen und verschiedene Desktop-Wallets waren betroffen. Die Angreifer manipulierten Updates und Abhängigkeiten, um ihre Schadsoftware unbemerkt zu installieren. So konnten sie Transaktionen umleiten und Vermögenswerte stehlen, ohne dass die Nutzer zunächst etwas bemerkten.
Besonders perfide war die Methode der “Ghost Updates”: Die Hacker injizierten ihren Code in scheinbar routinemäßige Software-Updates, die automatisch heruntergeladen und installiert wurden. Diese Updates enthielten neben legitimen Verbesserungen auch versteckte Backdoors und Keylogger. Die Schadsoftware war so programmiert, dass sie nur bei Krypto-Transaktionen aktiv wurde und ansonsten dormant blieb, um Entdeckung zu vermeiden.
Verschleierung über 37 Token-Arten und mehrere Blockchains
Die gestohlenen Mittel wurden systematisch über verschiedene Kryptowährungen und Blockchain-Netzwerke verteilt. Die Gruppe erbeutete mindestens 37 verschiedene Token-Arten und teilte größere Summen in kleinere Beträge auf. Diese wurden über verschiedene Wallet-Adressen weitergeleitet, um die Nachverfolgung zu erschweren. Diese Geldwäsche-Strategie zeigt die professionelle Herangehensweise der Angreifer.
Die Hacker nutzten eine Kombination aus dezentralen Börsen (DEX), Mixing-Services und Cross-Chain-Bridges, um ihre Spuren zu verwischen. Sie konvertierten gestohlene Ethereum-Token in Privacy-Coins wie Monero und Zcash, bevor sie diese wieder in Bitcoin oder stabile Coins umtauschten. Dabei verwendeten sie automatisierte Scripts, die Transaktionen über verschiedene Zeitzonen und zu unterschiedlichen Tageszeiten ausführten, um menschliche Muster zu simulieren und Blockchain-Analysetools zu umgehen.
Whistleblower deckt Operation nach Streit auf
Die Aufdeckung erfolgte nicht durch Sicherheitsforscher, sondern durch einen internen Hinweisgeber. Nach Streitigkeiten über Gewinnverteilung und nicht gezahlte Abfindungen veröffentlichte ein Beteiligter Details über die Hackergruppe. Er kündigte an, sich den Strafverfolgungsbehörden zu stellen. Bislang haben offizielle Stellen weder Ermittlungen bestätigt noch weitere Details genannt.
Der Whistleblower, der sich als ehemaliger Softwareentwickler der Gruppe identifizierte, veröffentlichte umfangreiche Beweise auf verschiedenen Cybersecurity-Foren. Dazu gehörten Screenshots von internen Chat-Protokollen, Code-Snippets der verwendeten Malware und eine detaillierte Liste der kompromittierten Wallet-Adressen. Seine Motivation beschrieb er als Gewissenskonflikt, nachdem er erkannt hatte, dass die Operation nicht nur Großinvestoren, sondern auch Kleinanleger und Studenten betraf, die ihre Ersparnisse verloren.
Internationale Dimension des Cyberkriminalitäts-Netzwerks
Weitere Untersuchungen ergaben, dass die Hackergruppe Teil eines größeren internationalen Netzwerks war, das ähnliche Operationen in verschiedenen Ländern durchführte. Die Gruppe hatte Verbindungen zu anderen Cyberkriminellen in Osteuropa und Südostasien, die sich auf verschiedene Aspekte der Krypto-Kriminalität spezialisiert hatten. Diese Arbeitsteilung ermöglichte es ihnen, ihre Angriffe zu skalieren und gleichzeitig das Risiko einer Entdeckung zu minimieren.
Die Ermittler fanden Hinweise auf mindestens fünf weitere ähnliche Operationen, die zusammen Schäden von über 50 Millionen Dollar verursacht haben könnten. Das Netzwerk nutzte verschlüsselte Kommunikationskanäle und Kryptowährungen für interne Transaktionen, was die Strafverfolgung erheblich erschwert.
Schutzmaßnahmen für Krypto-Nutzer werden kritisch
Der Vorfall unterstreicht die Verwundbarkeit von Desktop-Wallets und Browser-Erweiterungen. Besonders gefährdet sind Nutzer, die Software ohne regelmäßige Sicherheitsprüfungen verwenden. Experten empfehlen:
- Regelmäßige Audits von Software-Updates und Abhängigkeiten
- Installation nur geprüfter Browser-Erweiterungen aus offiziellen Stores
- Strikte Trennung von Arbeits- und Krypto-Umgebungen
- Verwendung von Hardware-Wallets für größere Beträge
- Implementierung von Multi-Signatur-Wallets für Geschäftstransaktionen
- Regelmäßige Überprüfung von Wallet-Aktivitäten und unbekannten Transaktionen
Diese Maßnahmen gelten inzwischen als Grundausstattung, nicht als zusätzlicher Schutz. Der Fall zeigt, dass auch scheinbar legitime Software-Anbieter eine Bedrohung darstellen können. Krypto-Nutzer müssen ihre Sicherheitsstrategie überdenken und verstärkt auf Supply-Chain-Risiken achten, um ihre digitalen Vermögenswerte zu schützen. Besonders wichtig ist die Verwendung von Code-Signing-Verifikation und die regelmäßige Überprüfung von Software-Integrität durch Hash-Vergleiche.
