Neuer Bericht enthüllt das alarmierende Ausmaß der nordkoreanischen Krypto-Hacker

Laut einem Bericht des Multilateral Sanctions Monitoring Team (MSMT) haben nordkoreanische Hacker zwischen 2024 und September 2025 erstaunliche 2,83 Milliarden US-Dollar an virtuellen Vermögenswerten gestohlen.

Der Bericht betont, dass Pjöngjang nicht nur im Diebstahl herausragt, sondern auch über ausgeklügelte Methoden zur Liquidierung der illegalen Gewinne verfügt.

Hacker-Einnahmen machen ein Drittel der Devisen des Landes aus

Das MSMT ist eine multinationale Koalition aus 11 Ländern, darunter die USA, Südkorea und Japan. Es wurde im Oktober 2024 gegründet, um die Umsetzung der UN-Sicherheitsratssanktionen gegen Nordkorea zu unterstützen.

Nach Angaben des MSMT sind die zwischen 2024 und September 2025 gestohlenen 2,83 Milliarden US-Dollar eine entscheidende Zahl.

„Die Erlöse aus dem Diebstahl virtueller Vermögenswerte Nordkoreas im Jahr 2024 machten etwa ein Drittel der gesamten Deviseneinnahmen des Landes aus“, stellte das Team fest.

Das Ausmaß der Diebstähle hat dramatisch zugenommen: Allein im Jahr 2025 wurden 1,64 Milliarden US-Dollar gestohlen, was einem Anstieg von über 50 % gegenüber den 1,19 Milliarden US-Dollar im Jahr 2024 entspricht, obwohl die Zahl für 2025 das letzte Quartal noch nicht einschließt.

Der Bybit-Hack und das TraderTraitor-Syndikat

Das MSMT identifizierte den Hack der globalen Börse Bybit im Februar 2025 als einen Hauptfaktor für den Anstieg der illegalen Einnahmen im Jahr 2025. Der Angriff wurde TraderTraitor zugeschrieben, einer der ausgeklügeltsten Hacking-Organisationen Nordkoreas.

Die Untersuchung ergab, dass die Gruppe Informationen im Zusammenhang mit SafeWallet, dem von Bybit genutzten Multi-Signature-Wallet-Anbieter, sammelte. Anschließend verschafften sie sich durch Phishing-E-Mails unbefugten Zugang.

Sie nutzten bösartigen Code, um auf das interne Netzwerk zuzugreifen und tarnten externe Überweisungen als interne Vermögensbewegungen. Dadurch konnten sie die Kontrolle über den Smart Contract des Cold Wallets übernehmen.

Das MSMT stellte fest, dass Nordkorea bei großen Hacks in den letzten zwei Jahren häufig Drittanbieter von Dienstleistungen, die mit Börsen verbunden sind, ins Visier nimmt – anstatt die Börsen selbst anzugreifen.

Der neun-stufige Geldwäsche-Mechanismus

Das MSMT beschrieb einen akribischen neun-stufigen Geldwäscheprozess, den Nordkorea nutzt, um die gestohlenen virtuellen Vermögenswerte in Fiatgeld umzuwandeln:

1. Die Angreifer tauschen gestohlene Vermögenswerte auf einer dezentralen Börse (DEX) gegen Kryptowährungen wie ETH.

2. Sie „mischen“ die Gelder mit Diensten wie Tornado Cash, Wasabi Wallet oder Railgun.

3. Sie wandeln ETH über Bridge-Dienste in BTC um.

4. Sie transferieren die Gelder nach dem Durchlaufen zentralisierter Börsenkonten in ein Cold Wallet.

5. Nach einer zweiten Mischrunde verteilen sie die Vermögenswerte auf verschiedene Wallets.

6. Sie tauschen BTC über Bridge- und P2P-Trades gegen TRX (Tron).

7. Sie wandeln TRX in den Stablecoin USDT um.

8. Sie transferieren die USDT an einen Over-the-Counter (OTC)-Broker.

9. Der OTC-Broker liquidiert die Vermögenswerte in lokale Fiatwährung.

Globales Netzwerk erleichtert Auszahlungen

Die schwierigste Phase ist die Umwandlung von Krypto in nutzbares Fiatgeld. Dies geschieht über OTC-Broker und Finanzunternehmen in Drittländern, darunter China, Russland und Kambodscha.

Im Bericht wurden bestimmte Personen namentlich genannt. Dazu gehören die chinesischen Staatsangehörigen Ye Dinrong und Tan Yongzhi von Shenzhen Chain Element Network Technology sowie der P2P-Händler Wang Yicong.

Sie sollen mit nordkoreanischen Stellen zusammengearbeitet haben, um gefälschte Ausweise bereitzustellen und die Geldwäsche von Vermögenswerten zu erleichtern. Auch russische Mittelsmänner waren an der Liquidierung von etwa 60 Millionen US-Dollar aus dem Bybit-Hack beteiligt.

Darüber hinaus wurde Huione Pay, ein Finanzdienstleister der kambodschanischen Huione Group, zur Geldwäsche genutzt.

„Ein nordkoreanischer Staatsangehöriger pflegte eine persönliche Beziehung zu Mitarbeitern von Huione Pay und arbeitete mit ihnen zusammen, um Ende 2023 virtuelle Vermögenswerte auszuzahlen“, erklärte das MSMT.

Das MSMT äußerte im Oktober und Dezember 2024 Bedenken gegenüber der kambodschanischen Regierung bezüglich der Aktivitäten von Huione Pay zur Unterstützung von UN-gelisteten nordkoreanischen Cyber-Hackern. Infolgedessen verweigerte die National Bank of Cambodia die Verlängerung der Zahlungslizenz von Huione Pay; das Unternehmen ist jedoch weiterhin im Land tätig.