Google Docs, Upwork und LinkedIn: Geheime Krypto-Operationen nordkoreanischer IT-Arbeiter
Untersuchungen des bekannten Blockchain-Ermittlers ZachXBT haben weitreichende nordkoreanische Infiltration im globalen Markt für Kryptowährungs-Entwicklung aufgedeckt.
Eine nicht genannte Quelle kompromittierte kürzlich ein Gerät, das einem nordkoreanischen IT-Arbeiter gehörte, und lieferte beispiellose Einblicke in die Arbeitsweise eines kleinen Teams von fünf IT-Arbeitern, die über 30 gefälschte Identitäten betrieben.
DPRK-Operative überschwemmen den Krypto-Arbeitsmarkt
Laut ZachXBTs Tweets nutzte das DPRK-Team angeblich von der Regierung ausgestellte Ausweise, um Konten auf Upwork und LinkedIn zu registrieren, um Entwicklerrollen in mehreren Projekten zu erhalten. Ermittler fanden einen Export der Google Drive-, Chrome-Profile und Screenshots der Arbeiter, die zeigten, dass Google-Produkte zentral für die Organisation von Zeitplänen, Aufgaben und Budgets waren, wobei die Kommunikation hauptsächlich in Englisch erfolgte.
Unter den Dokumenten befindet sich eine Tabelle aus dem Jahr 2025 mit wöchentlichen Berichten der Teammitglieder, die Einblicke in ihre internen Abläufe und Denkweise geben. Typische Einträge enthielten Aussagen wie "I can't understand the job requirement, and don't know what I need to do", mit selbst verfassten Notizen wie "Solution / fix: Put enough efforts in heart."
Eine andere Tabelle verfolgt Ausgaben und zeigt Käufe von Sozialversicherungsnummern, Upwork- und LinkedIn-Konten, Telefonnummern, KI-Abonnements, Computervermietungen und VPN- oder Proxy-Dienste. Besprechungspläne und Skripte für gefälschte Identitäten, einschließlich einer unter dem Namen "Henry Zhang", wurden ebenfalls gefunden.
Die Methoden des Teams beinhalteten angeblich den Kauf oder die Miete von Computern, die Nutzung von AnyDesk, um Arbeiten aus der Ferne auszuführen, und die Umwandlung von verdienten Fiat-Währungen in Kryptowährung über Payoneer. Eine Wallet-Adresse, 0x78e1, die mit der Gruppe in Verbindung steht, wurde on-chain mit einem $680,000 Exploit bei Favrr im Juni 2025 in Verbindung gebracht, bei dem der CTO des Projekts und andere Entwickler später als DPRK-IT-Arbeiter unter Verwendung gefälschter Dokumente identifiziert wurden. Weitere mit der Adresse 0x78e1 verbundene DPRK-Arbeiter wurden mit Projekten in Verbindung gebracht.
Indikatoren für ihren nordkoreanischen Ursprung umfassen die häufige Nutzung von Google Translate für koreanischsprachige Suchanfragen, die von russischen IP-Adressen aus durchgeführt wurden. ZachXBT sagte, dass diese IT-Arbeiter nicht besonders raffiniert seien, aber ihre Beharrlichkeit durch die schiere Anzahl von Rollen, die sie weltweit anstreben, gestärkt werde.
Herausforderungen bei der Bekämpfung dieser Operationen umfassen eine schlechte Zusammenarbeit zwischen privaten Unternehmen und Diensten sowie Widerstände aus den Teams, wenn betrügerische Aktivitäten gemeldet werden.
Nordkoreas anhaltende Bedrohung
Nordkoreanische Hacker, insbesondere die Lazarus-Gruppe, stellen weiterhin eine erhebliche Bedrohung für die Industrie dar. Im Februar 2025 orchestrierte die Gruppe den größten Krypto-Börsen-Hack in der Geschichte, als sie etwa $1.5 Milliarden in Ethereum von der in Dubai ansässigen Bybit stahl.
Der Angriff nutzte Schwachstellen bei einem Drittanbieter von Wallet-Anbietern, Safe{Wallet}, aus, der es den Hackern ermöglichte, Multi-Signature-Sicherheitsmaßnahmen zu umgehen und Gelder in mehrere Wallets abzuzweigen. Das FBI führte den Einbruch auf nordkoreanische Operative zurück und bezeichnete ihn als "TraderTraitor".
Anschließend fiel im Juli 2025 die indische Kryptowährungsbörse CoinDCX einem $44 Millionen Raub zum Opfer, der ebenfalls mit der Lazarus-Gruppe in Verbindung gebracht wurde. Die Angreifer infiltrierten die Liquiditätsinfrastruktur von CoinDCX und nutzten exponierte interne Anmeldeinformationen, um den Diebstahl auszuführen.
