Nordkoreanische Fake-Entwickler generieren $3,5 Millionen in Krypto-Firmen
Ein umfangreicher Datensatz, der durch einen Hackerangriff auf ein Gerät eines nordkoreanischen IT-Arbeiters ans Licht kam, zeigt, dass nordkoreanische IT-Mitarbeiter in den letzten Monaten über $3,5 Millionen in Kryptowährungen erwirtschaftet haben. Dies geschah durch eine koordinierte Operation mit gefälschten Entwickleridentitäten und strukturierten Zahlungssystemen, wie der Blockchain-Ermittler ZachXBT berichtet.
Operation der nordkoreanischen Krypto-Entwickler
Die Daten zeigen, dass die Operation etwa $1 Million pro Monat einbrachte. Die Beteiligten nutzten gefälschte Zeugnisse, um Positionen in verschiedenen Projekten zu erlangen und leiteten ihre Einnahmen über eine interne Plattform weiter. ZachXBT enthüllte, dass Kommunikation und Zahlungsnachverfolgung über eine Plattform namens "luckyguys.site" abgewickelt wurden. Diese diente als internes Zentrum, in dem die Arbeiter Transaktionen protokollierten und Einkommen an Administratoren meldeten.
Die Plattform wies nur minimale Sicherheitsvorkehrungen auf, und viele Nutzer verwendeten ein Standardpasswort. Nutzerlisten enthielten Rollen, Standorte und Gruppenkennungen, die bekannten Strukturen nordkoreanischer IT-Arbeiter ähnelten, einschließlich Verbindungen zu vom US-Finanzministerium sanktionierten Entitäten wie Sobaeksu, Saenal und Songkwang.
Chatprotokolle deuten darauf hin, dass ein zentrales Administratorenkonto für die Bestätigung eingehender Überweisungen und die Verteilung von Kontozugangsdaten für verschiedene Finanzdienstleistungen verantwortlich war. Zahlungen folgten typischerweise einem konsistenten Muster, bei dem in Kryptowährung erhaltene Gelder in Fiat umgewandelt und über chinesische Bankkonten mittels Zahlungsplattformen wie Payoneer transferiert wurden. Die Nachverfolgung dieser Flüsse auf der Blockchain zeigte Verbindungen zu zuvor identifizierten nordkoreanischen Wallets, einschließlich Adressen, die später von Tether eingefroren wurden.
Aus den Daten des kompromittierten Geräts, das mit einem Nutzer namens "Jerry" in Verbindung steht, geht hervor, dass umfangreich VPN-Dienste genutzt und mehrere gefälschte Identitäten für Bewerbungen verwendet wurden. Interne Gespräche bezogen sich auf Bedenken hinsichtlich Deepfake-bezogener Einstellungen und Beschränkungen beim Teilen externer Informationen innerhalb des Netzwerks. Weitere Protokolle deuteten darauf hin, dass Dutzende von Arbeitern gleichzeitig innerhalb desselben Kommunikationssystems operierten.
Über die Einkommensgenerierung hinaus erfassten die Aufzeichnungen auch Diskussionen über die potenzielle Ausnutzung von Krypto-Projekten. In einem Fall diskutierte "Jerry" mit einem anderen Arbeiter über das Ziel eines Projekts mittels eines Proxy-Setups, obwohl es keine Bestätigung gibt, dass der Versuch durchgeführt wurde.
Unabhängig davon verteilten Administratoren Schulungsmaterialien zu Reverse Engineering und Debugging-Tools wie IDA Pro.
Nordkoreanische Entwickler im DeFi-Bereich
In dieser Woche erklärte die Cybersicherheitsforscherin Taylor Monahan, dass nordkoreanische IT-Arbeiter seit Jahren im Kryptosektor tätig sind und sogar zu wichtigen DeFi-Protokollen beigetragen haben. Monahan erläuterte, dass viele ihrer Lebensläufe echte Entwicklungserfahrungen widerspiegelten, anstatt erfundene Hintergründe.
Projekte wie SushiSwap, Yearn und THORChain wurden dabei genannt. Die Sicherheitsexpertin fügte hinzu, dass diese Akteure später eine wichtige Rolle bei der Ermöglichung großangelegter Exploits spielten.
Darüber hinaus wurde die nordkoreanische Hackergruppe Lazarus Group mit einigen der bekanntesten Hacks der Branche in Verbindung gebracht, wie dem $625 Millionen Ronin Bridge Exploit im Jahr 2022, dem $235 Millionen WazirX Hack im Jahr 2024 und dem jüngsten $1,4 Milliarden Bybit Raub im Jahr 2025.
