2025 ist noch keine acht Monate alt, doch bereits jetzt steht fest: Es könnte das verheerendste Jahr für Krypto-Diebstähle aller Zeiten werden. Über 2,17 Milliarden Dollar haben Cyberkriminelle in der ersten Jahreshälfte bereits aus Kryptowährungsdiensten gestohlen, berichtet der Blockchain-Datenanbieter Chainalaysis – mehr als im gesamten Jahr 2024. Mehr als die Hälfte der Beute geht dabei auf die globalen Rekordräuber zurück, nordkoreanische Staatshacker.

Dieses Jahr überboten sie sich erneut. Den Löwenanteil der erbeuteten Summe Beute macht ein einziger Coup aus: der 1,5-Milliarden-Dollar-Hack der Kryptobörse ByBit. Es war der größte Einzeldiebstahl in der Geschichte der Kryptowährungen. Für Expert:innen ist die Leistungsfähigkeit der Nordkoreaner schon lange keine Überraschung, sondern eine ernste Bedrohung nicht nur für Kryptobörsen, sondern auch IT- und Softwarefirmen weltweit.

Ihr Erfolg zeigt, dass weder Reichtum noch eine hoch entwickelte IT-Infrastruktur notwendig sind, um eines der schlagkräftigsten Hackerheere auszubilden. Pro Kopf erwirtschaftet jeder Nordkoreaner gerade einmal 654 Dollar im Jahr, Bauern bewirtschaften Felder oft noch mit Ochsen und der Strom ist chronisch knapp. Dafür plündern Tausende  Spezialisten zum Wohle ihres Landes und des Führers Kim Jong Un im Cyberspace Milliardensummen.

Diese digitalen Räuberbanden operieren unter Namen wie „Lazarus Group“ oder „Andariel“. Sie sind Teil einer ausgeklügelten Staatsstrategie: Während internationale Sanktionen gegen Nordkoreas Atomwaffenprogramm das Land vom globalen Finanzsystem abschneiden, eröffnet der Cyberspace neue Einnahmequellen für das Regime.

Besonders raffiniert: Nordkoreanische Programmierer heuern neuerdings unter falschen Namen bei globalen Tech-Konzernen an. Westliche Firmen haben unwissentlich Tausende nordkoreanische IT-Spezialisten beschäftigt, warnt unter anderem die US-Bundespolizei FBI – eine Trojanerstrategie mit Zukunft.

Die Ausbildung funktioniert ähnlich wie die von Olympioniken in den früheren kommunistischen Staaten Europas oder heute Chinas. Nur drillt Nordkorea keine Hochleistungssportler, sondern Hochleistungsinformatiker – nach einer bewährten Methode.

Kinder, die mathematisch begabt sind, werden bereits in jungen Jahren identifiziert, gefördert und ausgelesen. An einfachen Computern lernen sie das Programmieren, nehmen an schulischen Wettbewerben teil, erklärt Michael Barnhart, Nordkorea-Experte bei DTEX Systems, einem Anbieter zur Identifizierung von Insiderbedrohungen.

„Der Anreiz ist enorm für Nordkoreaner“, meint Barnhart. Erfolge ebnen den Weg zum sozialen Aufstieg und zur intellektuellen Elite des Landes, die ein weit besseres Leben als normale Nordkoreaner führen. Nach der Schulzeit folgt die Spezialisierung für verschiedene subversive Aufgaben: „Cybertrolls“ etwa für Propagandazwecke, oder die Hacker und IT-Spezialisten, die scheinbar aus China, Russland oder Afrika operieren und unter falschen Identitäten bei ausländischen Firmen anheuern. Die Gruppe Kimsuky ist dabei meist für neue Arten der Spionage und Unterwanderung zuständig und den westlichen Geheimdiensten gut bekannt.

Das Faszinierende dabei: Trotz chronischer Unterfinanzierung und ohne freien Internetzugang schlugen Nordkoreas IT-Experten früher regelmäßig internationale Konkurrenten bei Programmierwettbewerben. Denn sie haben es gelernt, komplexe Probleme mit einem Minimum an Ressourcen zu lösen.

Der ByBit-Angriff vom 21. Februar 2025 zeigt exemplarisch, wie ausgefeilt nordkoreanische Cyber-Operationen mittlerweile sind. 1,5 Milliarden Dollar in der Kryptowährung Ethereum (ETH) – gestohlen durch eine perfekt orchestrierte Kombination aus Social Engineering und technischer Raffinesse. Als Social Engineering bezeichnet man die Verleitung des Opfers, verseuchte Dateien herunterzuladen oder Zugangsdaten preiszugeben, um so Zugang zum Computer zu gewinnen.

Chainalysis schildert das lehrbuchmäßige Vorgehen in einer kurzen Studie im Detail: Die Hacker kompromittierten zunächst den Computer eines Entwicklers digitaler Safes, um die Benutzeroberfläche zu kontrollieren, die speziell für ByBit-Transaktionen verwendet wurde. Dann injizierten sie bösartigen JavaScript-Code in das Frontend und gaukelten vor, ByBit würde eine legitime Transaktion signieren – tatsächlich war es eine bösartige.

Bei einem vermeintlich routinemäßigen Transfer von ByBits Offline- zu Online-Konten signierte ByBit unwissentlich die manipulierte Transaktion. Binnen Minuten zweigten die Angreifer 401.000 ETH im Wert von fast 1,5 Milliarden Dollar auf eigene Konten ab und wuschen einen Teil des Geldes. Denn die virtuellen Währungen sind sowohl ein Vorteil für Räuber wie auch ein Nachteil.

So werden die Transaktionen der digitalen Münzen öffentlich sichtbar in der Blockchain gespeichert und sind damit anders als Bargeld theoretisch einfacher verfolgbar. Aber die Wallets, die Konten, sind oft anonym. Die gestohlenen Krypto-Assets wurden daher über ein komplexes Netz von Zwischenadressen verteilt und über sogenannte Bridges in andere Währungen getauscht.

Ein beträchtlicher Teil der Beute ruht bis heute in den Wallets der Kryptogangster. Es ist eine bewusste Strategie: Sie setzen darauf, dass die Aufmerksamkeit von Ordnungshütern wie Kryptogemeinde mit der Zeit erlahmt. Erst dann wollen sie ihre Beute wieder in Umlauf bringen.

Barnhart hat es zu seiner Lebensaufgabe gemacht, Unternehmen, Behörden und Normalbürger auf die ostasiatische Gefahr hinzuweisen. Im Mai stellte er einen DTEX-Report über die Struktur des nordkoreanischen Hackersystems vor. Eine Botschaft lautete, dass es keine Anzeichen dafür gibt, dass Kims Kryptoräuber und Softwarespione ihre Arbeit verlangsamen.

Das ist nicht nur für Unternehmen und große Kryptowährungsinvestoren ein Problem. Die Experten von Chainalysis erklären, dass die Räuber immer öfter individuelle Wallets ins Visier nehmen. Sie warnen daher, dass die Kryptodiebstähle sogar den bisherigen Rekord von rund 3,8 Milliarden Dollar aus dem Jahr 2022 übertreffen könnten – auch dank Kims dienstbeflissenen Staatshackern.