Nordkoreas Militärfinanzierung durch Cyberkriminalität
Nordkorea verlässt sich auf staatlich unterstützte Hackergruppen wie Lazarus, um sein Militär zu finanzieren. Gestohlene Kryptowährungen machen fast ein Drittel seiner Deviseneinnahmen aus und bieten einen stetigen, illegalen Geldfluss, der gegen traditionelle Sanktionen immun ist.
Kryptowährungsdiebstähle und ihre Auswirkungen
In einem Bericht vom 22. Oktober erklärte das Multilaterale Sanktionsüberwachungsteam, dass nordkoreanische Akteure zwischen Januar 2024 und September 2025 Kryptowährungsdiebstähle in Höhe von mindestens 2,8 Milliarden Dollar orchestriert haben. Diese Diebstähle wurden durch staatlich unterstützte Hackergruppen und Cyber-Akteure durchgeführt, die den Sektor der digitalen Vermögenswerte ins Visier nehmen.
„Der Großteil der Beute stammt von größeren Vorfällen, einschließlich des Übergriffs auf Bybit im Februar 2025, der allein etwa die Hälfte des Gesamtbetrags ausmachte.“
Der Bericht führt diese Übergriffe auf bekannte nordkoreanische Bedrohungsakteure zurück, die ausgeklügelte Methoden der Lieferkette, soziale Ingenieurtechniken und Wallet-Kompromittierung verwenden.
Die Rolle staatlich unterstützter Hackergruppen
Die Krypto-Operationen Nordkoreas drehen sich um ein enges Ökosystem staatlich verbundener Hackergruppen, allen voran Lazarus, Kimsuky, TraderTraitor und Andariel, deren Fingerabdrücke in fast jedem größeren digitalen Vermögensbruch der letzten zwei Jahre zu finden sind. Laut Cybersicherheitsanalysten operieren diese Teams unter dem General Reconnaissance Bureau, dem primären Geheimdienst von Pjöngjang, und koordinieren Angriffe, die die Effizienz des Privatsektors nachahmen.
Ihre Hauptinnovation besteht darin, Börsen vollständig zu umgehen und stattdessen Drittanbieter für die Verwahrung digitaler Vermögenswerte ins Visier zu nehmen, die Börsen für die sichere Speicherung nutzen. Durch die Kompromittierung der Infrastruktur von Unternehmen wie Safe(Wallet), Ginco und Liminal Custody erlangten nordkoreanische Akteure einen Master-Key, um Gelder von Kunden wie Bybit, Japans DMM Bitcoin und Indiens WazirX zu stehlen.
„Der Angriff auf DMM Bitcoin, der zu einem Verlust von 308 Millionen Dollar und der endgültigen Schließung der Börse führte, wurde Monate zuvor eingeleitet, als ein TraderTraitor-Akteur, der sich als Recruiter auf LinkedIn ausgab, einen Ginco-Mitarbeiter dazu brachte, eine bösartige Datei zu öffnen.“
Geldwäsche und ihre Mechanismen
Einmal gestohlen, durchlaufen die digitalen Vermögenswerte einen komplexen, neunstufigen Geldwäscheprozess, der darauf abzielt, ihren Ursprung zu verschleiern und sie in verwendbare Fiat-Währung umzuwandeln. Die Cyber-Akteure der DVRK tauschen systematisch gestohlene Token in etablierte Kryptowährungen wie Ethereum oder Bitcoin um und nutzen dann eine Reihe von Mixing-Diensten, darunter Tornado Cash und Wasabi Wallet.
Anschließend verwenden sie Cross-Chain-Brücken und Aggregatoren wie THORChain und LI.FI, um zwischen Blockchains zu wechseln, wobei sie oft die gemischten Vermögenswerte in Tron-basiertes USDT umwandeln, um sie für den Cash-Out vorzubereiten.
Globale Auswirkungen und Schlussfolgerungen
Ermittler berichteten, dass diese gesamte Operation auf einem Netzwerk von Over-the-Counter-Brokern beruht, die überwiegend in China ansässig sind und das gewaschene USDT akzeptieren und gleichwertige Fiat-Währung auf von der DVRK kontrollierte Bankkonten über chinesische UnionPay-Karten einzahlen.
Diese unermüdliche Kampagne digitaler Diebstähle hat direkte und gravierende Auswirkungen in der realen Welt. Die Milliarden, die aus dem Krypto-Ökosystem abgezweigt werden, verschwinden nicht in einem bürokratischen Vakuum. Der MSMT-Bericht kommt zu dem Schluss, dass dieser Einnahmefluss entscheidend für die Beschaffung von Materialien und Ausrüstungen für die illegalen Massenvernichtungswaffen- und ballistischen Raketenprogramme der DVRK ist.
„Indem sie einen massiven, illegalen Geldfluss bereitstellt, der gegen traditionelle finanzielle Sanktionen immun ist, wurde die globale Kryptowährungsindustrie zur Waffe gemacht und ist zu einem unregulierten und unwilligen Finanzier von Pjöngjangs militärischen Ambitionen geworden.“
Die Diebstähle sind nicht nur Verbrechen aus Profitgier; sie sind Akten staatlicher Politik, die einen militärischen Aufrüstungsprozess finanzieren, der die globale Sicherheit bedroht.
