Im Dezember 2025 wurde bekannt, dass die nordkoreanische Cyberspionagegruppe KIMSUKY eine neue Angriffsmethode einsetzt, um gezielt Schadsoftware auf Android-Geräten zu platzieren. Mithilfe täuschend echter QR-Codes, Phishing-Webseiten und manipulierten Apps schleusen die Angreifer ein besonders ausgefeiltes Remote Access Trojan Horse (RAT) in die mobilen Endgeräte von Zielpersonen – insbesondere in Südkorea, aber mit global übertragbaren Taktiken und Strategien. Ziel: Datenklau, Industriespionage, Überwachung.
Dieser Angriff hat es auf Unternehmen abgesehen. Besonders perfide: Die technische Komplexität ist gut verschleiert, die Angriffsfläche liegt im Alltag – harmlos wirkende Lieferapp-Links, gefälschte VPNs, Downloadaufforderungen über QR-Codes. Unternehmen, die BYOD-(Bring Your Own Device)-Modelle oder hybride Arbeitsumgebungen unterstützen, sind besonders anfällig.
CEOs und Sicherheitsverantwortliche müssen sich nun fragen: Wie stellt man sicher, dass die mobilen Endgeräte des Managements, von Projektverantwortlichen oder Mitarbeitern in sensiblen Funktionen nicht zum Spionagewerkzeug fremder Staaten werden? Welche Risiken für Geschäftsgeheimnisse, IP und Supply Chain entstehen durch mobile Angriffsvektoren? Und wie lässt sich die mobile Angriffsfläche mit überschaubarem Aufwand absichern?
Die KIMSUKY-Gruppe hat sich seit Jahren auf Cyberangriffe im Auftrag des nordkoreanischen Regimes spezialisiert. Ihr Fokus liegt auf Beschaffung politischer, wissenschaftlicher und wirtschaftlich relevanter Informationen im Ausland. In ihrer neuesten Kampagne nutzen sie soziale Gewohnheiten – wie das Scannen von QR-Codes – für den Angriffsstart auf Android-Geräte.
Die Nutzer werden durch perfide realistische Phishing-Seiten getäuscht, die südkoreanische Lieferdienste wie „CJ Logistics“ imitieren. Die Webseite fordert Besucher zur Identitätsverifikation im Rahmen angeblicher Sicherheitsauflagen auf – inklusive Download einer vermeintlichen Sicherheits-App über einen QR-Code. Dahinter verbirgt sich jedoch der eigentliche Angreiferzugriff: eine mit Malware präparierte App („SecDelivery.apk“), die unbemerkt ein vollwertiges Spionageprogramm („DocSwap“) installiert und aktiviert.
Diese App fordert Rechte, um auf Daten, Dateien, Nachrichten, GPS und Mikrofon zuzugreifen. Hat der Nutzer sie einmal installiert und die Berechtigungen bestätigt, übernimmt die Malware zentrale Funktionen des Geräts. Schlimmer noch: Die App tarnt sich als legitimer Authentifizierungsdienst, generiert Fake-OTP-Codes, lädt im Hintergrund die Malware nach und tarnt Aktivitäten vor dem Benutzer durch Öffnen realer Webseiten. Die technischen Mechanismen ermöglichen ganze 57 verschiedene Kommandos: darunter Keystroke-Logging, Kamera- und Mikrofonzugriffe sowie das Ausführen externer Befehle.
Für ein Unternehmen bedeutet das: Jeder Mitarbeiter, der mit seinem (vermeintlich) privaten Smartphone eine manipulierte App installiert, kann potenziell zur mobilen Angriffsbrücke werden – mit direkter Verbindung zum Unternehmensnetzwerk, zur Mailinfrastruktur, zu Projekt- und Kundendaten.
Viele Unternehmen haben in den letzten Jahren gelernt, zentrale IT-Systeme besser zu schützen. Endpoint Detection, VPN-Absicherungen oder EDR-Lösungen (Endpoint Detection & Response) sorgen inzwischen in vielen Rechenzentren oder bei fest installierten Geräten für Basisschutz. Doch die Realität in der vernetzten Wirtschaft sieht anders aus: Mitarbeiter arbeiten hybrid, reisen viel und nutzen mobile Endgeräte für genau jene IT-Schnittstellen, die besonders vertraulich sind – Projektabstimmungen mit Partnern, mobile Video-Calls, Zugriff auf SaaS-Plattformen, Versand vertraulicher Dokumente per E-Mail oder Collaboration-Tools.
Spätestens, wenn sich eine manipulierte App auf ein Smartphone schmuggelt, ist diese Barriere durchbrochen. Die Schadsoftware „DocSwap“ legt dabei den Fokus auf kontinuierlichen, fast unsichtbaren Zugriff auf Gerätedaten – sie kann Gesprächsinhalte in Echtzeit abfangen, Bewegungsprofile erstellen, erfasste Screenshots oder Bildschirmtastatureingaben übertragen, sogar weitere Schadsoftware-Komponenten nachladen.
Dieser Zugang reicht aus, um über den Umweg „Mitarbeitersmartphone“ Zugriff auf strategische Unternehmensdaten zu erhalten – insbesondere, wenn Business-Apps (z. B. Zugriff auf SAP-Systeme, Logistik-Tools oder Kundendatenbanken) mit Mobilgeräten kommunizieren. Die Zeiten, in denen Angriffe nur über klassische E-Mail-Phishing-Aktionen erfolgten, sind vorbei.
Noch problematischer ist der Umstand, dass KIMSUKY nicht auf selbst entwickelte Schadsoftware beschränkt ist. Im aktuellen Fall nutzen sie legitime Tools und modifizieren sie – etwa in Form einer gefälschten Version der Android-App „BYCOM VPN“. Anhand dieser Methode können selbst technisch versierte Mitarbeitende schwer erkennen, ob ein Programm legitim ist oder nicht. Verstärkt wird diese Gefahr durch den Trend, über mobile App-Stores Anwendungen herunterzuladen, die dann mit unterschwelligen Rechten agieren und Sicherheitsbarrieren systematisch umgehen.
Für CIOs und CISOs bedeutet diese neue Angriffsmethodik eine gravierende Veränderung in der Risikobewertung mobiler Geräte. Denn viele Unternehmen spielen die Risiken im Bereich „mobile devices“ systematisch herunter – nach dem Motto „ist ja das private Handy/MacBook des Mitarbeiters“. Doch genau dort entsteht ein gefährlicher toter Winkel.
Denn:
Im Klartext: Wer heute BYOD oder mobile Nutzung von Business-Apps zulässt, ohne den mobilen Kontext in seine IT-Sicherheitsstrategie zu integrieren, gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit eigener (und oft auch kundenseitiger) kritischer Daten.
Zudem sind es meist nicht die „typischen Targets“, die zuerst kompromittiert werden. KIMSUKY ist dafür bekannt, gezielt Führungskräfte, Diplomaten, Wissenschaftler und Entscheidungsträger zu kompromittieren – also genau jene Personen, die mit besonders schützenswerten Daten und Gesprächen umgehen.
Ein effektiver Schutz gegen mobilbasierte Spionage-Angriffe erfordert mehr als technische Nachjustierungen. Für die Unternehmensführung – egal ob CEO, CIO oder CISO – bedeutet dies eine strategische Neuausrichtung der Risikobewertung.
Mobile Security muss Teil der Sicherheitsarchitektur werden
Die Abgrenzung zwischen „privatem“ Mobilgerät und „geschäftlich genutztem“ Endgerät ist in der Praxis nicht mehr haltbar. Jedes Gerät, das Zugriff auf Mails, Dokumente, Cloud-Dienste oder Termine hat, ist sicherheitsrelevant. Unternehmen müssen daher:
Unternehmen müssen daher:
Als spezialisierter Partner für IT-Sicherheit, Industriespionage-Abwehr und technische Präventionsmaßnahmen kennt ProSec die Vorgehensweise staatlich geförderter Angreifer wie KIMSUKY im Detail. Unser Ansatz: Nicht reagieren – sondern frühzeitig erkennen, verhindern und aufklären.
Ob bei der Absicherung Ihrer C-Level-Endgeräte, der mobilen Zugriffskontrolle auf sensible Informationen oder der intelligenten Auswertung verdächtiger App-Kommunikation – wir beraten Sie technologieoffen, lösungsorientiert und auf dem Stand aktueller Spionage- und Cybercrime-Lagen.
Ein „Remote Access Trojan“ ist eine Schadsoftware, die Angreifern über das Internet vollständigen Fernzugriff auf ein kompromittiertes System ermöglicht. Beim aktuellen Fall „DocSwap“ handelt es sich um einen mobilen RAT, der gezielt Android-Geräte kontrolliert.
APT bezeichnet eine langfristige, strategisch geplante Cyberbedrohung, die von staatlich unterstützten oder besonders professionell agierenden Gruppen ausgeht. Das Ziel ist überwiegend Spionage, verdeckter Zugriff und Datendiebstahl.
QR-Codes verbergen beim Scannen die eigentliche URL oder Funktionsweise. Nutzer verlassen sich auf die visuelle Darstellung und durchlaufen oft automatisch Sicherheitsabfragen. Angriffe über QR-Codes umgehen klassische Phishing-Filter und sind besonders effektiv auf mobilen Geräten.
Oft gar nicht – und genau das ist das Problem. Trojanisierte Apps wirken außen wie legitime Anwendungen, enthalten aber im Inneren manipulierten Code. Nur Analyseverfahren wie Sandbox-Tests, Signaturvergleiche und API-Verhaltensanalysen zeigen die Wahrheit.
„Bring Your Own Device“ ermöglicht Mitarbeitenden die geschäftliche Nutzung privater Geräte. Das spart Kosten, erhöht aber massiv die Angriffsfläche – da Kontrolle, Schutz und Verantwortlichkeiten oft unklar geregelt sind.
