Eine Spionagekampagne gegen Südkorea nutzt Microsoft VS Code Tunnel für den verdeckten Fernzugriff. Sicherheistforscher von Darktrace identifizierten Übereinstimmungen mit bekannten DPRK-Taktiken. Der Angriff nutzt ausschließlich legitime Software von Microsoft und GitHub. Statt klassischer Malware etablieren die Angreifer verschlüsselte Tunnel und umgehen so etablierte Erkennungsmechanismen.
Eine Spionagekampagne gegen Südkorea missbraucht Microsoft VS Code Tunnel für den verdeckten Fernzugriff. Sstatt klassischer Malware setzen die Angreifer ausschließlich auf legitime Software und umgehen so etablierte Erkennungsmechanismen.
Eine neue Analyse des Darktrace Threat Research Teams untersucht eine Spionagekampagne, die sich gegen Nutzer in Südkorea richtet und starke Übereinstimmungen mit Taktiken, Techniken und Prozeduren (TTPs) aufweist, die historisch mit DPRK-assoziierter Bedrohungsaktivität in Verbindung gebracht werden. Die Kampagne nutzt Microsoft Visual Studio Code, um über vertrauenswürdige Infrastruktur einen dauerhaften, verdeckten Fernzugriff zu etablieren – und verdeutlicht damit den zunehmenden Missbrauch legitimer Tools in modernen, staatlich unterstützten Cyberoperationen.
Die Angriffe richteten sich gegen Nutzer in Südkorea. Der initiale Zugriff erfolgte über Spear-Phishing-E-Mails mit präparierten Anhängen, die offizielle Regierungsdokumente imitierten. Im dokumentierten Fall erweckte die Datei den Anschein, vom südkoreanischen Ministerium für Personalmanagement zu stammen, und trug den Titel „Documents for the Selection of Students for the Master’s Night Program in the First Half of 2026“. Tatsächlich handelte es sich um ein JSE-Skript, das beim Öffnen eine gut getarnte Infektionskette auslöste.
Das Skript wurde über den Windows Script Host ausgeführt und enthielt mehrere Base64-kodierte Komponenten. Zunächst wurde ein scheinbar legitimes Hangul-Dokument angezeigt, um den Nutzer abzulenken. Parallel dazu wurden im Hintergrund weitere Dateien heruntergeladen – darunter die Kommandozeilenversion von Visual Studio Code direkt von Microsoft, ein legitimes VS-Code-Executable (code.exe) sowie eine Logdatei mit dem Namen out.txt.
VS Code Tunnel als Einstiegspunkt
In einem versteckten Prozess wurde anschließend ein sogenannter VS Code Tunnel eingerichtet. Diese Funktion ist eigentlich dafür gedacht, den Fernzugriff auf ein System zu ermöglichen – etwa um auch unterwegs mit einer Entwicklungsumgebung zu arbeiten. In diesem Fall wurde der Tunnel automatisiert unter dem Namen bizeugene erstellt und ermöglichte den Angreifern den Aufbau einer verschlüsselten Verbindung über Microsofts Infrastruktur zum kompromittierten System.
Die Autorisierung erfolgte über GitHub. Die Logdatei out.txt enthielt einen Gerätecode, mit dem sich die Angreifer über ihr eigenes GitHub-Konto authentifizieren konnten. Sobald der Tunnel aktiv war, bestand eine interaktive Verbindung zur Zielumgebung. Die Angreifer konnten Dateien durchsuchen, Payloads übertragen und Daten exfiltrieren – ohne dabei klassische Sicherheitstools auszulösen.
Die Exfiltration von Zugangsdaten und Tunneldetails erfolgte über eine legitime, jedoch kompromittierte Website in Südkorea. Diese fungierte anschließend als Command-and-Control-Infrastruktur, über die die Angreifer mit dem infizierten System kommunizierten. Auch dies unterstreicht einen zentralen Aspekt moderner Angriffstaktiken: Anstelle dedizierter C2-Infrastruktur missbrauchen Angreifer zunehmend kompromittierte Drittserver, um ihre Aktivitäten noch schwerer erkennbar zu machen.
Besonders bemerkenswert an dieser Kampagne ist der vollständige Verzicht auf klassische Schadsoftware. Es kamen weder Zero-Day-Exploits noch bekannte Trojaner oder verdächtige Binärdateien zum Einsatz. Stattdessen basierte der Angriff ausschließlich auf legitimer, signierter Software – darunter Microsoft-, GitHub- und Textverarbeitungsanwendungen. Aus Sicht vieler Sicherheitssysteme erschien der Angriff dadurch vollständig unauffällig.
Living-off-the-Land auf staatlichem Niveau
Darktrace ordnet diese Kampagne eindeutig dem sogenannten „Living-off-the-Land“-Ansatz zu – einem Angriffsmodell, bei dem vorhandene Systemtools, Anwendungen und Infrastrukturen für bösartige Zwecke missbraucht werden, ohne unmittelbare Verdachtsmomente auszulösen. In Umgebungen mit vielen Entwicklern oder technisch versierten Nutzern fällt ein zusätzlicher Prozess wie code.exe nicht zwangsläufig auf. In Kombination mit Tunneling über vertrauenswürdige Plattformen wie GitHub und Microsoft wird die Erkennung weiter erschwert.
Erste Hinweise auf den Missbrauch von VS Code Tunneln durch staatlich unterstützte Gruppen wurden bereits 2023 bekannt, als Palo Alto Networks’ Unit 42 über entsprechende Aktivitäten chinesischer APT-Gruppen in Südostasien berichtete. Die hier beschriebene Kampagne gilt als der erste öffentlich dokumentierte Fall, der eine Übereinstimmung mit DPRK-assoziierter Aktivität bei der Nutzung dieser Technik zeigt.
Die beobachteten Taktiken entsprechen bekannten Mustern, die mit der Demokratischen Volksrepublik Korea in Verbindung gebracht werden: gezielte Angriffe auf staatliche Einrichtungen, der Einsatz von Social Engineering sowie der Missbrauch legitimer Tools zur langfristigen Kompromittierung von Systemen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Technisch lässt sich der Angriff klar bestehenden Frameworks zuordnen. Das MITRE-ATT&CK-Modell erfasst unter anderem Techniken wie T1566.001 (Phishing via Attachment), T1059 (Command and Scripting Interpreter), T1218 (Signed Binary Proxy Execution) und T1090 (Proxy Communication).
Erkennungsherausforderungen und empfohlene Maßnahmen
Die Analyse macht deutlich, dass sich die Bedrohungslage zunehmend verändert. Während früher klassische Malware im Fokus stand, setzen moderne Kampagnen auf verdeckte Infiltration, langfristige Präsenz und die gezielte Umgehung etablierter Erkennungsmechanismen. Organisationen mit Entwicklungsabteilungen oder umfangreichem Cloud-Zugriff sind für diese Art von Angriffen besonders anfällig, da der Missbrauch legitimer Entwickler-Tools leicht in regulären Arbeitsabläufen untergeht.
Sicherheitsteams müssen daher über rein signaturbasierte Abwehrmechanismen hinausdenken. Entscheidend sind kontextbasierte Analyse, verhaltensbasierte Anomalieerkennung und eine Zero-Trust-Architektur, die jeden Zugriff überprüft – auch wenn er über vertraute und legitime Werkzeuge erfolgt.
Die von Darktrace untersuchte Kampagne zeigt, wie gezielt staatlich unterstützte Akteure legitime Software einsetzen, um bestehende Sicherheitsmechanismen zu umgehen. Sie unterstreicht die Notwendigkeit, auch alltägliche Tools wie Entwicklungsumgebungen sicherheitstechnisch zu überwachen und klassische Erkennungslogiken durch verhaltensbasierte Ansätze zu ergänzen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/3e/033e4b58bc28e47d45970cf30ccfc55f/0129829259v2.jpeg "Eine Spionagekampagne gegen Südkorea missbraucht Microsoft VS Code Tunnel für den verdeckten Fernzugriff. Sstatt klassischer Malware setzen die Angreifer ausschließlich auf legitime Software und umgehen so etablierte Erkennungsmechanismen. (Bild: © patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/0e/5c0ef0774eea48c6ef80c428c763140a/0129853344v2.jpeg "Von KI-Frameworks über Enterprise-Systeme bis zu Mobilgeräten und Robotern: Zehn aktuelle Schwachstellen zeigen, dass Sicherheitslücken heute kontinuierliche Aufmerksamkeit erfordern. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a1444cd2371eff71ed0475d8689dd25/0129697922v1.jpeg "Hacker können durch eine kritische Sicherheitslücke in der WhatsApp-Bridge von Nanobot ungeschützte WebSocket-Verbindungen nutzen, um ohne Authentifizierung Zugriff auf WhatsApp-Sitzungen zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a5/9a/a59ab62029350d6d43ebe09ef9ad4797/0129861758v1.jpeg "Zero Trust kann nur gelingen, wenn ein umfassendes, risikobasiertes Identitätsmanagement vorhanden ist. (Bild: © Vogel IT-Medien / Strive Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/65/3d65dcec21534995555cc3e6d1162102/0129290787v1.jpeg "Mit mehr als 180.000 Besuchern in 2025 ist die VivaTech eines der größten Start-up- und Tech-Event Europas. Der Veranstalter, Viva Technology, gibt jedes Jahr vorab eine internationale Umfrage in Auftrag. (Bild: VivaTech)")
:quality(80)/p7i.vogel.de/wcms/0c/54/0c54424dab7e712b7bb27c8a7ffe5ea0/0129817433v1.jpeg "Die Kommerzialisierung von KI-Crimeware: Dark LLMs, Deepfake-as-a-Service und automatisierte Phishing-Kits werden für wenige Dollar monatlich angeboten. (Bild: © Piyaporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/2c/1c2c56c2cb8fe952631e9741158f7c7f/0125129708v1.jpeg "Shai-Hulud kompromittierte über 25.000 GitHub-Repositories im NPM-Ökosystem. Im Deep-Dive-Video mit Mondoo zeigen wir, wie man Supply-Chain-Angriffe rechtzeitig erkennen kann und welche Schutzmethoden es gibt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/bd/eb/bdebce8b595a259020d21d00a9282ae3/0129678262v2.jpeg "Bei erfolgreicher Ausnutzung der Sicherheitslücke CVE-2026-26119 im Windows Admin Center könnten Angreifer unter bestimmten Bedingungen vollständige Administratorrechte im Netzwerk ihrer Opfer erlangen und so eine umfassende Kompromittierung der gesamten Domäne ermöglichen. (©sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/6b/f56b4f03a15167df363e6c0ab64fb7ce/0129786443v2.jpeg "Die IT-Defense 2026 fand vom 3. bis 4. Februar in Würzburg statt. Der finnische Security-Experte Sami Laiho hielt den Vortrag „Cyberwar between Russia and Finnish Companies“. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/2b/4b2bb466fc80efe5afbb9151c95da928/0129796745v1.jpeg "Mehr Awareness durch Security Posture Management, ein Interview von Oliver Schonschek, Insider Research, mit Andreas Müller von Delinea. (Bild: Vogel IT-Medien / Delinea / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/64/0d/640df8dd411fb23d8fefd164d25db42f/0125782470v2.jpeg "Ein nordkoreanischer Agent versuchte bei der Kryptoplattform Kraken, über den Recruitingprozess Zugriff auf sensible Systeme zu erhalten. (Bild: © Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/37/4737fe2a0a330ea82f207a71bd63af53/0112150345v1.jpeg "Wir klären, wie die DPRK auf dem Arbeitsmarkt nach Devisen und Einfluss strebt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/06/b8/06b8181aeab5f455bd2a2f9f2886a674/0121535631v2.jpeg "LotL-Angriffe sind schwer zu erkennen, da sie Binärdateien, Skripte und Tools verwenden, die Teil des Betriebssystems sind. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/cf/3fcf9508be0dca6563150500d830cc38/98197853.jpeg "Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken. (©Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")