Hacker, die mit der Demokratischen Volksrepublik Korea (DVRK) verbunden sind, haben seit Beginn des Jahres 2025 erstaunliche 2,02 Milliarden Dollar in Kryptowährung gestohlen, so ein neuer Bericht, der am Donnerstag von Chainalysis veröffentlicht wurde.
Die Zahl stellt einen Anstieg von 51 % im Vergleich zu 2024 dar und markiert den höchsten jährlichen Gesamtbetrag, der jemals für Krypto-Diebstähle, die nordkoreanischen Akteuren zugeschrieben werden, aufgezeichnet wurde. Insgesamt hat der breitere Kryptomarkt in diesem Jahr etwa 3,4 Milliarden Dollar an Verlusten erlitten – was bedeutet, dass allein die mit der DVRK verbundenen Hacker fast 59 % aller gestohlenen digitalen Vermögenswerte im Jahr 2025 ausmachen.
Weniger Angriffe, aber viel größerer Schaden
Chainalysis beschreibt die Daten als Beweis für eine klare Evolution in Nordkoreas Cyberstrategie. Während die Anzahl der Angriffe stark zurückgegangen ist, hat der durchschnittliche Wert, der pro Vorfall gestohlen wird, stark zugenommen, was auf einen Wechsel zu weniger, aber weitaus verheerenderen Operationen hinweist.
Ein herausragendes Beispiel für diesen Trend war der $1,5 Milliarden Bybit-Hack im Februar 2025, den das FBI später DPRK-verbundenen Akteuren zuschrieb. Dieser einzelne Vorfall machte den Großteil der Verluste im ersten Quartal des Jahres aus und unterstrich den zunehmenden Fokus der Gruppe auf wertvolle, zentralisierte Ziele.
Laut Chainalysis setzt dieser strategische Wandel die Krypto-Industrie unter dringenden Druck, um:
Verteidigungen rund um hochliquide Plattformen verstärken
Früherkennung groß angelegter Eindringlinge verbessern
Überwachung von Geldwäschemustern, die für DPRK-Operationen einzigartig sind, verbessern
Eindeutige On-Chain-Fingerabdrücke
Im Gegensatz zu typischen Cyberkriminellen zeigen nordkoreanische Hacker eindeutige Verhaltensmuster, die on-chain identifiziert werden können. Chainalysis merkt an, dass DPRK-verbundene Akteure dazu neigen, sich auf Folgendes zu verlassen:
Spezifische Transaktionsgrößen
Wiederholte Nutzung bestimmter Dienstleister
Vorhersehbare Zeitpunkte und Abläufe von Mittelbewegungen
Diese Merkmale schaffen einzigartige Blockchain-Fußabdrücke, die es Analysten ermöglichen, DPRK-Aktivitäten von anderen Hackergruppen zu unterscheiden - vorausgesetzt, es sind angemessene Überwachungstools vorhanden.
Das dreistufige Geldwäschemodell
Eine der bedeutendsten Erkenntnisse des Berichts ist die Identifizierung eines dreistufigen Geldwäscheprozesses, der konsequent von nordkoreanischen Hackern verwendet wird. Der Zyklus entfaltet sich typischerweise über etwa 45 Tage und umfasst:
Phase 1: Erste Verschleierung
Gestohlene Mittel werden schnell durch Wallets und Dienste bewegt, die häufig chinesischsprachige Schnittstellen aufweisen, um die Prüfung zu reduzieren und die Attribution zu erschweren.
Phase 2: Cross-Chain-Fragmente
Vermögenswerte werden über mehrere Blockchains hinweg mithilfe von Cross-Chain-Brücken verbunden, was die Transaktionskontinuität unterbricht und Tracking-Systeme mit fragmentierten Flüssen überwältigt.
Phase 3: Mischen und Konsolidierung
Die Mittel werden dann durch Krypto-Mischdienste geleitet, um die Ursprünge weiter zu verschleiern, bevor sie schließlich konsolidiert oder umgewandelt werden.
Chainalysis erklärt, dass dieses Modell seit mehreren Jahren konstant auftritt und starke Beweisverbindungen zwischen großen Hacks und DPRK-unterstützten Gruppen bietet.
Finanzierung von Waffenprogrammen mit gestohlenem Krypto
In vielen Fällen wird die gestohlene Krypto nicht nur zur Gewinnwäsche verwendet - sie wird angeblich direkt zur Finanzierung von Nordkoreas Waffenprogrammen eingesetzt.
Andrew Fierman, Leiter der nationalen Sicherheitsintelligenz bei Chainalysis, sagte, dass aktuelle Geheimdienstberichte darauf hinweisen, dass gestohlene Krypto-Mittel von DPRK-Akteuren verwendet wurden, um zu beschaffen:
Panzerfahrzeuge
Militärische Hardware
Tragbare Luftabwehrsysteme (MANPADS)
Komponenten im Zusammenhang mit der Entwicklung von Raketen
Diese Aktivitäten ermöglichen es Nordkorea, internationale Sanktionen zu umgehen und gleichzeitig strategische Staatsprioritäten zu finanzieren.
Eskalation in den letzten Jahren
Historische Daten heben das beschleunigte Ausmaß der mit DPRK verbundenen Krypto-Diebstähle hervor:
2023: ~$660,5 Millionen gestohlen bei 20 Angriffen
2024: ~$1,34 Milliarden gestohlen bei 47 Angriffen (+103% im Vergleich zum Vorjahr)
2025: ~$2,02 Milliarden gestohlen trotz eines Rückgangs der aufgezeichneten Vorfälle um 74%
Chainalysis warnt, dass dieser Trend darauf hindeutet, dass die Branche möglicherweise nur den sichtbaren Teil einer viel größeren Bedrohung sieht.
Insider-Infiltration und Angriffe auf die Lieferkette
Über direkte Hacks hinaus nutzen nordkoreanische Operative zunehmend menschliche und softwarebezogene Lieferketten aus.
Infiltration von Krypto-Firmen
Laut Binance versuchen DPRK-verbundene Personen, fast täglich Jobs an der Börse zu beantragen. Der Chief Security Officer von Binance, Jimmy Su, enthüllte, dass:
Hacker verwenden KI-generierte Video-Avatare während Interviews
Stimmverändernde Werkzeuge werden eingesetzt, um Identitäten zu maskieren
Gefälschte Lebensläufe und gefälschte Zertifikate sind verbreitet
Binance hat interne Erkennungsmarker entwickelt und teilt jetzt Informationen mit anderen Börsen über Telegram und Signal.
Vergiftung von Open-Source-Bibliotheken
Nordkoreanische Hacker wurden auch mit bösartigen Code-Injektionen in beliebten Open-Source-NPM-Bibliotheken in Verbindung gebracht, die von Blockchain-Entwicklern weit verbreitet genutzt werden.
Binance erkannte an, dass Entwickler jetzt äußerst strenge Prüfungen von Drittanbieter-Bibliotheken vor der Integration durchführen müssen.
Ein separater Bericht von ReversingLabs identifizierte zwei vergiftete Open-Source-Pakete, die Ethereum-Smart-Contracts nutzten, um Malware bereitzustellen, Teil einer raffinierten Kampagne, die zuvor mit DPRK-Akteuren in Verbindung gebracht wurde.
Eine Warnung für 2026
Chainalysis schließt mit einer eindringlichen Warnung: Nordkoreanische Hacker operieren unter einem grundlegend anderen Anreizsystem als konventionelle Cyberkriminelle. Ihre Handlungen sind:
Staatlich gelenkt
Strategisch motiviert
Im Wesentlichen gleichgültig gegenüber rechtlichen oder rufschädigenden Risiken
Solange gestohlene Krypto weiterhin nationale Prioritäten finanziert und Sanktionen umgeht, wird erwartet, dass die Bedrohung wächst.
Trotz des starken Rückgangs der Angriffshäufigkeit war 2025 ein Rekordjahr für Verluste, was darauf hindeutet, dass groß angelegte, hochwirksame Angriffe zur Norm werden könnten.
„Die größte Herausforderung im Jahr 2026“, warnt der Bericht, „wird darin bestehen, diese Operationen zu erkennen und zu stören, bevor ein weiterer Vorfall im Ausmaß des Bybit-Hacks auftritt.“
👉 Folgen Sie uns für umfassende Analysen zur Krypto-Sicherheit, Blockchain-Intelligenz und kritische Updates zu globalen Cyberbedrohungen.
