Kryptowährungsdiebstähle durch nordkoreanische Hacker
Hacker aus der Demokratischen Volksrepublik Korea, auch bekannt als DPRK oder Nordkorea, haben im Jahr 2025 Kryptowährungen im Wert von 2,02 Milliarden Dollar gestohlen, wie ein Bericht von Chainalysis am Donnerstag enthüllte. Dies stellt einen Anstieg von 51 % im Vergleich zum Vorjahr dar und ist das größte Jahr in der Geschichte der mit der DPRK verbundenen Krypto-Diebstähle.
Insgesamt gab es in diesem Jahr Diebstähle im Krypto-Bereich in Höhe von 3,4 Milliarden Dollar, was bedeutet, dass die Angriffe der DPRK 59 % dieser gestohlenen Mittel ausmachen. Chainalysis glaubt, dass die Daten eine „Evolution“ Nordkoreas zeigen, da sie beginnen, weniger Angriffe durchzuführen, aber bei jedem Schlag erheblich mehr Schaden anrichten.
Beispiel eines bedeutenden Angriffs
Ein Schlüsselbeispiel für diese Evolution ist der Angriff auf Bybit im Februar, der mit 1,5 Milliarden Dollar beziffert wird und vom FBI mit der DPRK in Verbindung gebracht wurde. „Für die Kryptowährungsindustrie erfordert diese Evolution eine verstärkte Wachsamkeit gegenüber hochpreisigen Zielen und eine verbesserte Erkennung der spezifischen Geldwäsche-Muster der DPRK“, heißt es in dem Bericht.
„Ihre konstanten Vorlieben für bestimmte Dienstleistungsarten und Übertragungsbeträge bieten Erkennungsmöglichkeiten, die sie von anderen Kriminellen unterscheiden und Ermittlern helfen können, ihren on-chain Verhaltensfußabdruck zu identifizieren.“
Identifizierte Geldwäsche-Muster
Chainalysis hat ein deutliches, dreistufiges, 45 Tage langes Geldwäsche-Muster identifiziert, dem DPRK-Angreifer normalerweise folgen. Zu den Identifikatoren gehören:
- Die Nutzung chinesischsprachiger Dienste
- Eine starke Abhängigkeit von Brücken-Assets über verschiedene Chains zur Verwirrung der Nachverfolgung
- Eine verstärkte Nutzung von Krypto-Mischdiensten
Dieses Muster hat sich in den letzten Jahren gehalten. Chainalysis reagierte nicht auf die Anfrage von Decrypt, wie Analysten wissen, dass diese Angriffe von der DPRK und nicht von anderen Gruppen stammen.
Angriffe auf Krypto-Unternehmen
Zunehmend kommen Angriffe von böswilligen Akteuren, die von Krypto-Unternehmen engagiert werden. Der Angreifer arbeitet dann daran, privilegierten Zugang zu erlangen, bevor er wichtige Informationen oder Gelder stiehlt. Binance teilte Decrypt im Sommer mit, dass nordkoreanische Hacker jeden Tag versuchen, von der großen zentralisierten Börse eingestellt zu werden.
Jimmy Su, Chief Security Officer von Binance, erklärte, dass Angreifer sogar KI-generierte Live-Videos und Sprachverzerrer bei Anrufen verwenden könnten, um eingestellt zu werden. Die Börse hat mehrere häufige Erkennungsmerkmale von DPRK-Angreifern identifiziert und teilt diese Informationen über Telegram und Signal mit anderen Krypto-Börsen.
Bedrohungen durch vergiftete NPM-Pakete
Darüber hinaus wurden nordkoreanische Hacker dabei entdeckt, NPM-Pakete, die regelmäßig verwendete öffentliche Code-Bibliotheken sind, zu vergiften, um Projekte zu infiltrieren. Auch hier erkannte Binance diese Bedrohung an und behauptet, dass seine Entwickler gezwungen sind, jede Code-Bibliothek mit einer Lupe zu überprüfen.
„Während Nordkorea weiterhin Krypto-Diebstahl nutzt, um staatliche Prioritäten zu finanzieren und internationale Sanktionen zu umgehen, muss die Branche erkennen, dass dieser Bedrohungsakteur nach anderen Regeln operiert als typische Cyberkriminelle“, sagte der Chainalysis-Bericht.
Ausblick auf 2026
Die rekordverdächtige Leistung des Landes im Jahr 2025 – erreicht mit 74 % weniger bekannten Angriffen – deutet darauf hin, dass wir möglicherweise nur den sichtbarsten Teil seiner Aktivitäten sehen. „Die Herausforderung für 2026 wird darin bestehen, diese hochwirksamen Operationen zu erkennen und zu verhindern, bevor DPRK-affilierte Akteure einen weiteren Vorfall im Bybit-Maßstab verursachen“, schloss der Bericht.
