- Bitrefill sagt, es sei am 1. März 2026 Ziel eines Cyberangriffs geworden und habe Ähnlichkeiten zu früheren Attacken mit Lazarus- beziehungsweise Bluenoroff-Muster festgestellt.
- Der Angriff begann laut Incident-Report über einen kompromittierten Mitarbeiter-Laptop, endete aber bei Zugriffen auf Infrastruktur und bestimmte Krypto-Wallets.
Bitrefill hat einen Cyberangriff öffentlich gemacht und in einem Incident-Report den Ablauf skizziert. Das Unternehmen schreibt, dass Beobachtungen aus der Untersuchung deutliche Parallelen zu früheren Kampagnen zeigen, die in der Branche häufig der nordkoreanischen Lazarus- beziehungsweise Bluenoroff-Operation zugeschrieben werden. Es bleibt eine Einordnung, keine endgültige Attribution.
Einstieg über Mitarbeiter-Laptop und „Legacy Credential“
Nach Angaben von Bitrefill ging der initiale Zugriff auf einen kompromittierten Mitarbeiter-Laptop zurück.
Von dort sei ein älteres Zugangstoken oder Passwort abgeflossen, das noch gültig gewesen sei. Dieses „Legacy Credential“ habe den Angreifern Zugang zu einem Snapshot ermöglicht, der Produktionsgeheimnisse enthielt.
Von diesem Einstieg aus seien die Angreifer laut Bitrefill in der Lage gewesen, ihre Rechte auszuweiten und in breitere Teile der Infrastruktur vorzudringen. Genannt werden Teile der Datenbank sowie bestimmte Kryptowährungs-Wallets.
Welche Wallet-Typen betroffen waren, differenziert Bitrefill in dem Text nicht, spricht aber von Wallets, aus denen später Geld abfloss.
Ungewöhnliche Einkaufswellen brachten den Vorfall ans Licht
Entdeckt habe man den Vorfall nach eigenen Angaben über auffällige Einkaufsmuster bei bestimmten Lieferanten. Bitrefill schreibt, dass Gift-Card-Bestände und Lieferketten ausgenutzt worden seien. Parallel habe das Team festgestellt, dass einige Hot Wallets geleert und Mittel an Wallets unter Kontrolle der Angreifer transferiert wurden.
In dem Moment, in dem der Einbruch identifiziert worden sei, habe Bitrefill alle Systeme offline genommen, als Teil der Eindämmung.
Der Bericht liest sich wie ein typischer moderner Angriff: nicht ein einzelner Exploit, sondern ein Kettenangriff aus kompromittiertem Endgerät, wiederverwendbaren Credentials, lateraler Bewegung und monetarisierbarem Zugriff auf Zahlungs- und Wallet-Flows.
