Nordkoreas Krypto-Diebstahl in Höhe von $2,8 Milliarden finanziert militärische Ambitionen

Nordkorea ist auf staatlich unterstützte Hackergruppen wie Lazarus angewiesen, um sein Militär zu finanzieren. Gestohlene Kryptowährungen machen fast ein Drittel seiner Deviseneinnahmen aus und sorgen für einen stetigen, illegalen Geldfluss, der gegen traditionelle Sanktionen immun ist.

In einem Bericht vom 22. Oktober erklärte das Multilateral Sanctions Monitoring Team, dass nordkoreanische Akteure zwischen Januar 2024 und September 2025 Kryptowährungsdiebstähle im Gesamtwert von mindestens 2,8 Milliarden Dollar orchestriert haben – durch staatlich unterstützte Hackergruppen und Cyberakteure, die den Digital-Asset-Sektor ins Visier nahmen.

Der Großteil der Beute stammt aus größeren Vorfällen, darunter der Angriff auf Bybit im Februar 2025, der allein etwa die Hälfte des Gesamtbetrags ausmachte. Der Bericht schreibt diese Angriffe bekannten nordkoreanischen Bedrohungsakteuren zu, die ausgefeilte Supply-Chain-, Social-Engineering- und Wallet-Kompromittierungsmethoden einsetzen.

Nordkoreas ausgeklügeltes Arsenal an Diebstahl und Umgehung

Nordkoreas Krypto-Operationen drehen sich um ein enges Ökosystem staatlich verbundener Hackergruppen, allen voran Lazarus, Kimsuky, TraderTraitor und Andariel, deren Spuren in nahezu jedem größeren digitalen Vermögenswert-Diebstahl der letzten zwei Jahre zu finden sind.

Laut Cybersicherheitsanalysten operieren diese Teams unter dem Reconnaissance General Bureau, dem wichtigsten Geheimdienstorgan Pjöngjangs, und koordinieren Angriffe, die der Effizienz des Privatsektors ähneln. Ihre wichtigste Innovation bestand darin, Börsen vollständig zu umgehen und stattdessen die Drittanbieter von digitalen Vermögenswertverwahrern ins Visier zu nehmen, die von Börsen für die sichere Aufbewahrung genutzt werden.

Durch die Kompromittierung der Infrastruktur von Unternehmen wie Safe(Wallet), Ginco und Liminal Custody erlangten nordkoreanische Akteure einen Generalschlüssel, um Gelder von Kunden wie Bybit, Japans DMM Bitcoin und Indiens WazirX zu stehlen.

Der Angriff auf DMM Bitcoin, der zu einem Verlust von 308 Millionen Dollar und zur letztendlichen Schließung der Börse führte, wurde Monate zuvor eingeleitet, als ein TraderTraitor-Akteur, der sich auf LinkedIn als Personalvermittler ausgab, einen Ginco-Mitarbeiter dazu brachte, eine bösartige Datei zu öffnen, die als Pre-Interview-Test getarnt war.

Andere staatlich unterstützte Gruppen arbeiten im Einklang mit diesen Hauptakteuren. Das CryptoCore-Kollektiv, wenn auch weniger ausgeklügelt, betreibt Social Engineering in großem Umfang, indem es sich als Personalvermittler und Geschäftsleiter ausgibt, um Ziele zu infiltrieren.

Unterdessen hat sich Citrine Sleet einen Ruf für den Einsatz von trojanisierter Krypto-Handelssoftware erworben. In einem detaillierten Vorfall im Oktober 2024 lieferte ein Citrine Sleet-Akteur, der sich auf Telegram als vertrauenswürdiger ehemaliger Auftragnehmer ausgab, eine bösartige ZIP-Datei an einen Entwickler von Radiant Capital, was zu einem Diebstahl von 50 Millionen Dollar führte.

Die Geldwäsche-Spur führt zurück nach Nordkorea

Sobald sie gestohlen wurden, durchlaufen die digitalen Vermögenswerte einen komplexen, neun-stufigen Geldwäscheprozess, der darauf ausgelegt ist, ihren Ursprung zu verschleiern und sie in verwendbare Fiat-Währung umzuwandeln. Die Cyberakteure der DVRK tauschen systematisch gestohlene Token in etablierte Kryptowährungen wie Ethereum oder Bitcoin und nutzen dann eine Reihe von Mixing-Diensten, darunter Tornado Cash und Wasabi Wallet.

Anschließend nutzen sie Cross-Chain-Brücken und Aggregatoren wie THORChain und LI.FI, um zwischen Blockchains zu wechseln, wobei die gemischten Vermögenswerte häufig in Tron-basierte USDT umgewandelt werden, um sie für die Auszahlung vorzubereiten. Ermittler sagten, dass dieser gesamte Vorgang auf einem Netzwerk von OTC-Brokern basiert, hauptsächlich in China, die die gewaschenen USDT akzeptieren und den entsprechenden Fiat-Betrag über chinesische UnionPay-Karten auf von der DVRK kontrollierte Bankkonten einzahlen.

Diese unermüdliche Kampagne des digitalen Diebstahls hat direkte und schwerwiegende Auswirkungen in der realen Welt. Die Milliarden, die aus dem Krypto-Ökosystem abgezweigt werden, verschwinden nicht in einem bürokratischen Vakuum. Der MSMT-Bericht kommt zu dem Schluss, dass dieser Einnahmestrom entscheidend für die Beschaffung von Materialien und Ausrüstung für die illegalen Massenvernichtungswaffen- und ballistischen Raketenprogramme der DVRK ist.

Indem sie einen massiven, illegalen Geldfluss bereitstellt, der gegen traditionelle Finanzsanktionen immun ist, wurde die globale Kryptoindustrie zu einer Waffe gemacht und ist zu einem unregulierten und unfreiwilligen Finanzier von Pjöngjangs militärischen Ambitionen geworden. Die Raubzüge sind nicht nur Profitverbrechen; sie sind Akte staatlicher Politik und finanzieren einen militärischen Aufbau, der die globale Sicherheit bedroht.