Eine Gruppe nordkoreanischer IT-Fachkräfte hat innerhalb weniger Monate mehr als 3,5 Millionen US-Dollar in Kryptowährungen erbeutet. Die rund 140 Personen arbeiteten unter falschen Identitäten als Entwickler und generierten dabei monatlich etwa eine Million Dollar. Interne Daten, die nun an die Öffentlichkeit gelangten, gewähren erstmals detaillierte Einblicke in die Arbeitsweise dieser staatlich unterstützten Cyberoperationen.
Systematischer Betrug mit interner Erfolgsmessung
Besonders bemerkenswert ist die professionelle Organisation der Gruppe. Eine interne Rangliste dokumentierte minutiös die “Erfolge” einzelner IT-Arbeiter seit dem 8. Dezember. Die Tabelle erfasste nicht nur Namen und Gesamtsummen, sondern verlinkte direkt zu öffentlichen Blockchain-Explorern. Dadurch ließen sich sämtliche Transaktionen inklusive Betrag, Zeitstempel und Zieladresse nachvollziehen.
Diese Transparenz innerhalb der kriminellen Organisation zeigt, wie systematisch und geschäftsmäßig die Nordkoreaner vorgehen. Wer höhere Beträge erzielte, kletterte in der internen Hierarchie nach oben – ein Anreizsystem wie in einem regulären Unternehmen. Die Dokumentation erfolgte in Excel-Tabellen mit präzisen Aufzeichnungen über Erfolgsquoten und Zielunternehmen.
Gefälschte Identitäten für Jobplattformen
Die Betrüger nutzten ausgeklügelte Methoden zur Tarnung. Ein Akteur mit dem Alias “Jerry” griff über kommerzielle VPN-Dienste auf E-Mail-Konten zu und verschickte Bewerbungen als Full-Stack-Entwickler über bekannte Jobplattformen wie LinkedIn, Indeed und Upwork. In einem nicht versendeten Anschreiben bot er seine Dienste als WordPress- und SEO-Spezialist für 30 Dollar pro Stunde an.
Andere Gruppenmitglieder setzten auf gefälschte Ausweisdokumente. Der Akteur “Rascal” teilte Bilder einer manipulierten Rechnung mit erfundenem Namen und angeblicher Hongkonger Adresse sowie das Foto eines irischen Reisepasses. Ob diese Dokumente tatsächlich zum Einsatz kamen, bleibt unklar. Zusätzlich verwendeten sie gefälschte Lebensläufe mit erfundenen Bildungsabschlüssen und Berufserfahrungen bei renommierten Technologieunternehmen.
Krypto-Projekte als bevorzugte Ziele
Die nordkoreanischen IT-Arbeiter konzentrierten sich gezielt auf Krypto-Projekte und DeFi-Plattformen. Nach erfolgreichen Infiltrationen leiteten sie die erbeuteten Gelder über koordinierte Online-Plattformen weiter. Anschließend wandelten Zahlungsdienstleister die Kryptowährungen in Fiatgeld um und transferierten sie auf ausländische Bankkonten in China und anderen asiatischen Ländern.
Besonders lukrativ waren Positionen bei Start-ups im Bereich dezentraler Finanzen (DeFi), wo die Betrüger Zugang zu Smart Contracts und privaten Schlüsseln erhielten. Die durchschnittliche Beute pro erfolgreichem Angriff lag bei etwa 25.000 Dollar, wobei einzelne Operationen bis zu 500.000 Dollar einbrachten.
Technische Infrastruktur und Vorgehensweise
Die Analyse der internen Daten offenbart eine hochprofessionelle technische Infrastruktur. Die Gruppe nutzte verschiedene VPN-Dienste, um ihre wahre Herkunft zu verschleiern, und setzte auf eine Kombination aus legitimen Entwicklungstools und maßgeschneiderten Hacking-Werkzeugen. Kommunikation erfolgte über verschlüsselte Messenger-Dienste und speziell eingerichtete Telegram-Kanäle.
Zur Geldwäsche verwendeten die Akteure komplexe Transaktionsketten über mehrere Kryptobörsen hinweg. Dabei setzten sie auf Privacy Coins wie Monero und Zcash, um die Nachverfolgung zu erschweren. Die finale Umwandlung in Fiatgeld erfolgte häufig über kleinere, weniger regulierte Börsen in Südostasien.
Einordnung in die nordkoreanische Cyberstrategie
Experten stufen diese Akteure als weniger technisch ausgefeilt ein als andere bekannte nordkoreanische Hackergruppen wie Lazarus oder APT38. Dennoch zeigt der Fall, wie professionell Nordkorea seine Cyberfähigkeiten zur Devisenbeschaffung einsetzt. Die Kombination aus gefälschten Identitäten, systematischer Organisation und gezielter Infiltration von Krypto-Unternehmen macht diese Bedrohung besonders tückisch.
Nach Schätzungen des FBI haben nordkoreanische Cybergruppen allein im Jahr 2023 über 1,7 Milliarden Dollar durch Kryptowährungsdiebstähle erbeutet. Diese Gelder fließen direkt in die Finanzierung des nordkoreanischen Atom- und Raketenprogramms, was die nationale Sicherheit mehrerer Länder bedroht.
Warnung für Unternehmen und Präventionsmaßnahmen
Für Unternehmen wird es zunehmend schwieriger, echte von falschen Bewerbern zu unterscheiden. Die detaillierten Einblicke in die Arbeitsweise dieser Gruppe sollten als Warnung dienen, Einstellungsprozesse zu überdenken und zusätzliche Sicherheitsmaßnahmen zu implementieren. Experten empfehlen verstärkte Hintergrundprüfungen, Videoanrufe bei Bewerbungsgesprächen und die Überprüfung von Referenzen.
Besonders Krypto-Unternehmen sollten ihre Sicherheitsprotokolle überdenken und mehrstufige Authentifizierungsverfahren einführen. Die Trennung kritischer Systeme vom allgemeinen Netzwerk und regelmäßige Sicherheitsaudits können das Risiko erfolgreicher Infiltrationen erheblich reduzieren.
