Nordkoreanische Hacker haben 2025 durch raffinierte Cyber-Angriffe 1,6 Milliarden Dollar in Kryptowährungen erbeutet. Die Angreifer nutzen gefälschte IT-Stellenanzeigen und Malware, um Cloud-Systeme von Krypto-Unternehmen zu infiltrieren. Diese erschreckende Dimension zeigt die Professionalisierung staatlich geförderter Cyberkriminalität.
TraderTraitor-Kampagne: Systematische Infiltration seit 2020
Die als TraderTraitor bekannte Hacker-Kampagne hat sich seit 2020 kontinuierlich weiterentwickelt und speziell auf Krypto-Unternehmen fokussiert. Diese umfassende Operation vereint mehrere berüchtigte nordkoreanische Hacker-Gruppen unter einem Dach, darunter die Lazarus Group, APT38, BlueNoroff und Stardust Chollima. Die Koordination zwischen diesen Einheiten ermöglicht hochkomplexe und zielgerichtete Angriffe auf die Krypto-Branche.
Die Hacker-Einheit UNC4899 demonstrierte die Wirksamkeit ihrer Methoden durch erfolgreiche Angriffe auf zwei Unternehmen. Über soziale Medien kontaktierten die Angreifer gezielt Mitarbeiter und überzeugten sie dazu, Malware auszuführen. Diese schädliche Software etablierte Verbindungen zu Cloud-Systemen und ermöglichte den Diebstahl von mehreren Millionen Dollar an Kryptowährungen.
Die Raffinesse der Operation zeigt sich in der strategischen Ausrichtung auf Cloud-Technologien. Diese Fokussierung erlaubt es den Hackern, mehr Ziele zu erreichen und potenziell höhere Gewinne zu erzielen. Jamie Collier, Lead Threat Intelligence Advisor für Europa bei der Google Threat Intelligence Group, und Benjamin Read, Director of Strategic Threat Intelligence bei Wiz, bestätigen die zunehmende Bedrohung durch diese koordinierten Angriffe.
Perfide Köder: Gefälschte Stellenanzeigen als Einfallstor
Die nordkoreanischen Hacker haben eine besonders perfide Methode entwickelt, um ihre Ziele zu erreichen. Sie präsentieren sich als Personalvermittler oder Branchenexperten und bauen systematisch Vertrauen zu ihren potenziellen Opfern auf. Diese Job-Köder spiegeln einen hochentwickelten Ansatz wider, bei dem die Angreifer erhebliche Zeit und Ressourcen in die Vorbereitung ihrer Attacken investieren.
Die gefälschten IT-Stellenanzeigen wirken auf den ersten Blick authentisch und sprechen gezielt Fachkräfte in der Krypto-Branche an. Die Hacker nutzen dabei ihre Kenntnisse über die Branche, um glaubwürdige Jobangebote zu erstellen, die das Interesse qualifizierter Kandidaten wecken. Durch diese Vorgehensweise gelingt es ihnen, auch vorsichtige und erfahrene IT-Experten zu täuschen.
Die Kommunikation über soziale Medien verleiht den betrügerischen Angeboten zusätzliche Glaubwürdigkeit. Die Angreifer investieren Zeit in den Aufbau scheinbar professioneller Profile und führen längere Gespräche mit ihren Zielpersonen. Diese geduldige Herangehensweise unterscheidet sich deutlich von herkömmlichen Cyber-Angriffen und zeigt die strategische Planung hinter den Operationen.
Milliardenschwere Beutezüge: Die spektakulärsten Hacks
Die TraderTraitor-Kampagne kann auf eine beeindruckende Serie von Milliardenraubzügen zurückblicken. Der wohl bekannteste Angriff betraf das Axie Infinity Ronin Network, bei dem die Hacker 620 Millionen Dollar erbeuteten. Dieser Coup demonstrierte erstmals das wahre Potenzial der nordkoreanischen Cyber-Operationen im Krypto-Sektor.
Im Jahr 2024 intensivierten die TraderTrader-Gruppen ihre Aktivitäten erheblich. Sie führten einen 305 Millionen Dollar schweren Hack bei Japans DMM Bitcoin durch und erbeuteten zusätzlich 1,5 Milliarden Dollar von Bybit Ende 2024. Diese aufeinanderfolgenden Großangriffe unterstreichen die operative Effizienz und technische Kompetenz der Hacker-Gruppen.
Cloud-Infrastrukturen im Visier
Die gezielte Ausrichtung auf Cloud-Technologien erweist sich als besonders lukrative Strategie. Neuere Krypto-Unternehmen weisen häufig Schwachstellen in ihrer Cloud-Infrastruktur auf, die von den erfahrenen Hackern systematisch ausgenutzt werden. Diese Fokussierung ermöglicht es den Angreifern, mit relativ geringem Aufwand maximale Schäden anzurichten und große Mengen an Kryptowährungen zu entwenden.
Nordkorea als führende Cyber-Supermacht im Krypto-Sektor
Nordkorea hat sich zum dominierenden Akteur im Bereich der Krypto-Cyberkriminalität entwickelt. Das Land war 2024 für 35 Prozent aller gestohlenen Kryptowährungen verantwortlich und führt damit die globale Rangliste der Cyber-Diebstähle an. Diese Dominanz spiegelt die erheblichen Investitionen des nordkoreanischen Regimes in Hacking-Ressourcen wider.
Schätzungen gehen davon aus, dass das nordkoreanische Regime Tausende von Menschen in seinen Cyber-Operationen beschäftigt. Diese massive Personalausstattung ermöglicht es dem Land, gleichzeitig multiple komplexe Angriffe zu koordinieren und kontinuierlich neue Angriffsmethoden zu entwickeln. Die staatliche Unterstützung verleiht den Hacker-Gruppen Ressourcen und Durchhaltevermögen, die private Cyberkriminelle nicht erreichen können.
Experten rechnen mit einer Fortsetzung und weiteren Intensivierung der nordkoreanischen Cyber-Aktivitäten. Die Hacker passen sich kontinuierlich an neue Technologien und Sicherheitsmaßnahmen an. Sie nutzen bösartigen Open-Source-Code und gefälschte Stellenanzeigen, um ihre Operationen zu maximieren. Diese Anpassungsfähigkeit macht Nordkorea zu einer dauerhaften und wachsenden Bedrohung für die gesamte Krypto-Branche. Die 1,6 Milliarden Dollar aus dem Jahr 2025 markieren einen neuen Höhepunkt staatlich organisierter Cyberkriminalität.
