Direkt zum Hauptinhalt

Das Playbook der Lazarus Group: Einblick in Nordkoreas Krypto-Raubzüge im Gesamtwert von 6,75 Mrd. $

· 11 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Als der Safe{Wallet}-Entwickler „Developer1“ am 4. Februar 2025 eine scheinbar routinemäßige Anfrage erhielt, ahnte er nicht, dass sein Apple MacBook zum Einstiegspunkt für den größten Kryptowährungs-Raub der Geschichte werden würde. Innerhalb von siebzehn Tagen nutzte die nordkoreanische Lazarus Group diesen einzigen kompromittierten Laptop aus, um 1,5 Milliarden $ von Bybit zu stehlen – mehr als das gesamte BIP einiger Nationen.

Dies war keine Anomalie. Es war der Höhepunkt einer jahrzehntelangen Entwicklung, die eine Gruppe staatlich geförderter Hacker in die weltweit raffiniertesten Kryptowährungs-Diebe verwandelte, die für kumulierte Diebstähle von mindestens 6,75 Milliarden $ verantwortlich sind.

Die Zahlen, die jede Börse schlaflos machen sollten

Das Ausmaß des nordkoreanischen Krypto-Diebstahls hat beispiellose Ausmaße erreicht. Laut dem Crypto Crime Report von Chainalysis stahlen mit der DVRK verbundene Akteure allein im Jahr 2025 Kryptowährungen im Wert von 2,02 Milliarden $ – ein Anstieg von 51 % gegenüber dem Vorjahr und eine Zahl, die fast 60 % aller weltweiten Krypto-Diebstähle ausmacht.

Doch die alarmierendste Statistik ist nicht der Gesamtbetrag. Es ist die Effizienz. Während die Gesamtzahl der nordkoreanischen Hacking-Vorfälle im Vergleich zu 2024 um 74 % sank, schoss der gestohlene Wert pro Angriff in die Höhe. Die Lazarus Group ist mittlerweile für 76 % aller Kompromittierungen auf Service-Ebene in der Kryptowährungsbranche verantwortlich, gegenüber den Vorjahren, als ihr Anteil wesentlich geringer war.

Diese Verschiebung stellt das dar, was TRM Labs als „Industrialisierung des Kryptowährungs-Diebstahls“ bezeichnet – weniger Angriffe, größere Gewinne und eine Geldwäsche-Infrastruktur, die in der Lage ist, Hunderte von Millionen Dollar innerhalb von 48 Stunden zu verarbeiten.

Anatomie des Bybit-Hacks: Eine Meisterklasse in Social Engineering

Der Bybit-Raub im Februar 2025 enthüllte, wie weit sich nordkoreanische Hacker über traditionelle Brute-Force-Methoden hinausentwickelt haben. Das FBI schrieb den Angriff „TraderTraitor“ zu, einer bösartigen Cyber-Kampagne, die zum Synonym für staatlich geförderten Krypto-Diebstahl geworden ist.

Die Angriffskette begann nicht mit der Ausnutzung von Code, sondern mit menschlicher Manipulation.

Stufe 1: Die Kompromittierung

Laut der Post-Mortem-Analyse von Safe{Wallet} identifizierten die Angreifer zunächst einen Entwickler mit erweiterten Systemzugriffsrechten. Durch eine gezielte Phishing-Kampagne – wahrscheinlich mit gefälschten Jobangeboten oder Investitionsmöglichkeiten – überzeugten sie den Entwickler, bösartige Software herunterzuladen. Einmal installiert, gab die Malware Nordkorea die vollständige Kontrolle über den MacOS-Rechner des Administrators.

Stufe 2: Die stille Infiltration

Anstatt sofort Gelder zu stehlen, verbrachten die Angreifer Wochen damit, die Transaktionsmuster von Bybit zu studieren. Sie kaperten AWS-Sitzungstoken und umgingen die Multi-Faktor-Authentifizierung vollständig. Sie modifizierten den Website-Code von Safe{Wallet} mit einer ruhenden Payload, die so konzipiert war, dass sie nur bei bestimmten Bybit-Transaktionen aktiviert wurde.

Stufe 3: Die Extraktion

Als ein Bybit-Mitarbeiter Ende Februar Safe{Wallet} öffnete, um eine Routinetransaktion zu autorisieren, wurde der ruhende Code aktiviert. Er manipulierte den Transaktionsgenehmigungsprozess und leitete etwa 400.000 ETH – zu diesem Zeitpunkt 1,5 Milliarden $ wert – an von den Angreifern kontrollierte Wallets um.

Der gesamte Diebstahl ereignete sich in Echtzeit, direkt vor den Augen des Sicherheitsteams von Bybit.

Die 48-Stunden-Geldwäsche-Maschine

Was nordkoreanische Krypto-Operationen von anderen cyberkriminellen Unternehmen unterscheidet, ist die Geschwindigkeit und Raffinesse ihrer Geldwäsche-Infrastruktur. TRM Labs berichtete, dass innerhalb von 48 Stunden nach dem Bybit-Hack bereits mindestens 160 Millionen u¨berillegaleKana¨leverarbeitetwordenwarenwobeieinigeScha¨tzungendaraufhindeuten,dassdieZahlbiszumEndedeszweitenTages200Millionenüber illegale Kanäle verarbeitet worden waren – wobei einige Schätzungen darauf hindeuten, dass die Zahl bis zum Ende des zweiten Tages 200 Millionen überstieg.

Diese schnelle Geldwäsche folgt einem Prozess, den Chainalysis als „Multi-Wave“-Prozess beschreibt, der sich über etwa 45 Tage erstreckt:

Tage 0-5: Sofortiges Layering

Gestohlene Gelder werden sofort auf Hunderte von Zwischen-Wallets aufgeteilt. Die Angreifer nutzen Cross-Chain-Bridges wie THORChain und LI.FI für das „Chain Hopping“ zwischen Blockchains, wobei sie Ethereum in Bitcoin und dann in Stablecoins wie DAI umwandeln. Diese jurisdiktionelle und technische Fragmentierung macht eine umfassende Rückverfolgung extrem schwierig.

Tage 6-10: Erste Integration

Gemischte Vermögenswerte werden in Tron-basiertes USDT umgewandelt, das schnellere Transaktionen und niedrigere Gebühren für die Geldwäsche hoher Volumina bietet. Die Gelder werden auf Tausende neuer Adressen verteilt, wobei jeder Betrag klein genug ist, um das Auslösen von Börsenüberwachungsschwellen zu vermeiden.

Tage 20-45: Finale Integration

Das gewaschene USDT erreicht Netzwerke von Over-the-Counter (OTC) Brokern, die überwiegend in China und Südostasien ansässig sind. Diese Broker akzeptieren die Kryptowährung und zahlen die entsprechende Fiat-Währung über chinesische UnionPay-Karten auf von der DVRK kontrollierte Bankkonten ein.

Bis zum 20. März 2025 – weniger als einen Monat nach dem Bybit-Hack – bestätigte CEO Ben Zhou, dass die Angreifer 86,29 % des gestohlenen ETH in Bitcoin umgewandelt hatten, was die Effizienz dieses industrialisierten Geldwäscheprozesses unterstreicht.

Die Entwicklung von Sony bis hin zu Milliarden-Raubüberfällen

Um die Lazarus-Gruppe zu verstehen, muss man ihre Entwicklung von politischen Hacktivisten zu den weltweit führenden Dieben von Kryptowährungen nachvollziehen.

2014: Der Angriff auf Sony Pictures

Die Gruppe erlangte erstmals internationale Bekanntheit durch die Zerstörung der Infrastruktur von Sony Pictures als Vergeltung für „The Interview“, einen Film, der das Attentat auf Kim Jong-un darstellte. Sie setzten Wiper-Malware ein, die Daten im gesamten Netzwerk des Unternehmens löschte, während sie gleichzeitig peinliche interne Mitteilungen öffentlich machten.

2016: Der SWIFT-Raub

Lazarus demonstrierte finanzielle Ambitionen durch den [Versuch, fast 1 Milliarde ](https://www.picussecurity.com/resource/blog/lazarusgroupapt38explainedtimelinettpsandmajorattacks)vonderBangladeshBanku¨berdasinternationaleBankensystemSWIFTzustehlen.EinTippfehlerverhindertedenvollsta¨ndigenDiebstahl,dochsieentkamendennochmit81Millionen](https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks) von der Bangladesh Bank über das internationale Bankensystem SWIFT zu stehlen. Ein Tippfehler verhinderte den vollständigen Diebstahl, doch sie entkamen dennoch mit 81 Millionen – eine Summe, die später bescheiden erscheinen sollte.

2017–2019: Der DeFi-Schwenk

Als der Wert von Kryptowährungen explodierte, verlagerte Lazarus seinen Fokus auf Krypto-Börsen. Frühe Angriffe auf Bithumb (7 Millionen $), Youbit und andere Plattformen begründeten ihren Ruf im Krypto-Sektor. Diese Angriffe nutzten in der Regel Spear-Phishing-E-Mails mit Malware, die als Stellenangebote oder Sicherheitsupdates getarnt war.

2022: Der 620-Millionen-Dollar-Angriff auf das Ronin Network

Der Hack des Ronin Network markierte einen Wendepunkt. Angreifer kompromittierten Sky Mavis (die Entwickler von Axie Infinity) durch ein gefälschtes LinkedIn-Stellenangebot, das an einen leitenden Ingenieur gesendet wurde. Einmal im System, bewegten sie sich lateral, bis sie die Kontrolle über genügend Validator-Schlüssel erlangten, um das Netzwerk um 620 Millionen $ in ETH und USDC zu erleichtern.

2023: Die Zentralisierung der Ziele

Lazarus verlagerte den Fokus von dezentralen Protokollen auf zentralisierte Dienstleister. Innerhalb von drei Monaten trafen sie Atomic Wallet (100 Millionen ),CoinsPaid(37,3Millionen), CoinsPaid (37,3 Millionen ), Alphapo (60 Millionen ),Stake.com(41Millionen), Stake.com (41 Millionen ) und CoinEx (54 Millionen $). Das FBI bestätigte die nordkoreanische Urheberschaft für jeden dieser Angriffe.

2024–2025: Industrialisierter Diebstahl

Der WazirX-Hack (234,9 Millionen )undderBybitRaub(1,5Milliarden) und der Bybit-Raub (1,5 Milliarden ) repräsentieren die aktuelle Entwicklungsstufe: weniger Angriffe, maximale Wirkung und eine Geldwäsche-Infrastruktur, die in der Lage ist, Milliarden zu verarbeiten.

Der Faktor Mensch: IT-Mitarbeiter als Trojanische Pferde

Über direktes Hacking hinaus hat Nordkorea die sogenannte „Wagemole“-Strategie eingesetzt – das Einschleusen verdeckter IT-Mitarbeiter in legitime Unternehmen weltweit.

Diese Agenten erhalten Remote-Technik-Positionen unter Verwendung gefälschter Identitäten oder über Tarnfirmen. Einmal eingestellt, fungieren sie als legitime Mitarbeiter, während sie gleichzeitig Informationen an Hacking-Teams liefern. In einigen Fällen erleichtern sie den Diebstahl direkt, indem sie Zugangsdaten bereitstellen, Sicherheitssysteme deaktivieren oder betrügerische Transaktionen genehmigen.

Laut Chainalysis wurden allein im Jahr 2024 mehr als ein Dutzend Kryptowährungsunternehmen von nordkoreanischen Agenten infiltriert, die sich als IT-Mitarbeiter ausgaben. Der Sicherheitsbruch bei DeFiance Capital ereignete sich Berichten zufolge, nachdem Lazarus-Agenten die Firma infiltrierten, indem sie sich als Smart-Contract-Entwickler ausgaben.

Diese Strategie stellt eine fundamentale Herausforderung für die Branche dar: Traditionelle Perimeter-Sicherheit wird irrelevant, wenn die Angreifer bereits über legitime Zugangsdaten verfügen.

Die „ClickFake“-Kampagne: Stellenangebote als Waffe

Die DEV#POPPER-Kampagne, die 2023 gestartet wurde und weiterhin aktiv ist, demonstriert die zunehmende Raffinesse der Lazarus-Gruppe beim Social Engineering.

Der Angriff beginnt auf beruflichen Plattformen wie GitHub oder LinkedIn. Angreifer geben sich als Recruiter oder Kollegen aus und verwickeln Zielpersonen in Diskussionen über Karrieremöglichkeiten. Die Gespräche verlagern sich allmählich auf private Messaging-Plattformen wie WhatsApp, wo der Beziehungsaufbau über Wochen hinweg fortgesetzt wird.

Schließlich werden die Zielpersonen eingeladen, scheinbar legitime GitHub-Repositories zu klonen – oft als technische Tests oder Tools im Zusammenhang mit dem Kryptohandel beschrieben. Diese Repositories enthalten bösartige Node Package Manager (npm)-Abhängigkeiten, die nach der Integration eine Backdoor-Malware installieren.

Die Malware mit dem Namen „BeaverTail“ ermöglicht eine langfristige Persistenz und Datenexfiltration. Angreifer können Tastatureingaben überwachen, Screenshots erstellen, auf Browser-Zugangsdaten zugreifen und letztendlich die privaten Schlüssel erlangen, die benötigt werden, um Krypto-Wallets leerzuräumen.

Neuere Varianten enthielten Dateien, die als legitime Python-Projekte getarnt waren (wie „MonteCarloStockInvestSimulator-main.zip“), die die meisten Antiviren-Erkennungen umgehen, indem sie die legitime pyyaml-Bibliothek für die Remote-Code-Ausführung (RCE) ausnutzen.

Warum die gestohlenen Milliarden von Bedeutung sind

Die von der Lazarus-Gruppe gestohlenen Kryptowährungen verschwinden nicht auf Privatkonten. Laut einer Analyse des Wilson Center dienen die Gelder als entscheidende Einnahmequelle für Nordkoreas Waffenprogramme.

Der Bericht des MSMT (Ministerium für Staatssicherheit) kommt zu dem Schluss, dass dieser Einnahmestrom wesentlich ist für die „Beschaffung von Materialien und Ausrüstung für die ungesetzlichen Massenvernichtungswaffen- und ballistischen Raketenprogramme der DVRK“.

Diese Verbindung hebt die Sicherheit von Kryptowährungen von einem finanziellen Anliegen zu einer Frage der internationalen Sicherheit. Jeder erfolgreiche Hack finanziert die Entwicklung von Waffen, die die regionale und globale Stabilität bedrohen.

Abwehr von staatlichen Angreifern

Der Bybit-Hack hat gezeigt, dass selbst gut ausgestattete Börsen mit hochentwickelter Sicherheit verwundbar bleiben. Aus der Analyse der Methodik von Lazarus ergeben sich mehrere Lehren:

Der Faktor Mensch zuerst

Die meisten größeren Hacks beginnen mit Social Engineering, nicht mit technischen Exploits. Organisationen müssen strenge Verifizierungsprotokolle für die externe Kommunikation einführen, insbesondere bei Jobangeboten, Investitionsmöglichkeiten oder Anfragen zur technischen Zusammenarbeit.

Gehen Sie von einer Kompromittierung aus

Die „Wagemole“-Strategie bedeutet, dass interne Akteure bereits kompromittiert sein könnten. Mehrparteien-Autorisierungen für bedeutende Transaktionen, Funktionstrennung und kontinuierliche Verhaltensüberwachung werden dadurch unerlässlich.

Hardware-Sicherheitsmodule

Softwarebasiertes Schlüsselmanagement – selbst mit Multi-Signatur-Wallets – erwies sich gegenüber Lazarus als unzureichend. Hardware-Sicherheitsmodule (HSMs), die eine physische Interaktion zur Transaktionsautorisierung erfordern, schaffen zusätzliche Barrieren.

Limits für die Transaktionsgeschwindigkeit

Die Fähigkeit, 1,5 Milliarden $ in einer einzigen Transaktion abzuheben, stellt einen fundamentalen Designfehler dar. Die Implementierung von Geschwindigkeitslimits und zeitverzögerten großen Auszahlungen kann Erkennungsfenster bieten, selbst wenn primäre Kontrollen versagen.

Integration von Blockchain-Forensik

Die Echtzeit-Integration mit Blockchain-Analyseplattformen kann verdächtige Transaktionsmuster kennzeichnen und Gelder verfolgen, während sie sich durch Geldwäschenetzwerke bewegen. Eine frühzeitige Erkennung erhöht die Wahrscheinlichkeit einer Wiedererlangung.

Der Weg in die Zukunft

Die Kryptowährungs-Diebstahloperationen Nordkoreas haben sich von opportunistischem Hacking zu industrialisierter, staatlich geförderter Finanzkriminalität entwickelt. Die kumulierten Diebstähle der Gruppe in Höhe von 6,75 Milliarden $ zeigen, dass traditionelle Sicherheitsansätze gegen entschlossene staatliche Gegner unzureichend sind.

Die Branche steht vor einer klaren Entscheidung: Entweder werden Sicherheitsmaßnahmen implementiert, die der Bedrohung angemessen sind, oder sie dient weiterhin als Geldautomat für feindselige staatliche Akteure. Angesichts des Umfangs der auf dem Spiel stehenden Gelder und ihrer letztlichen Verwendung in der Waffenentwicklung ist dies nicht nur eine geschäftliche Entscheidung – es ist eine Frage der globalen Sicherheit.

Für Börsen, Verwahrer und DeFi-Protokolle sollte das Playbook der Lazarus-Gruppe als Weckruf dienen. Die Angreifer haben Geduld bewiesen (indem sie Wochen in kompromittierten Systemen verbrachten), Raffinesse (durch Umgehung von MFA mittels Session-Token-Hijacking) und Effizienz (indem sie hunderte Millionen innerhalb von 48 Stunden gewaschen haben).

Die Frage ist nicht, ob nordkoreanische Hacker einen weiteren Milliardenraub versuchen werden. Die Frage ist, ob die Branche besser vorbereitet sein wird, wenn sie es tun.

BlockEden.xyz bietet Blockchain-Infrastruktur auf Enterprise-Niveau mit integrierter Sicherheitsüberwachung und Anomalieerkennung. Unsere RPC-Endpunkte unterstützen die Integration von Echtzeit-Bedrohungsinformationen, um Ihre Web3-Anwendungen zu schützen. Erkunden Sie unseren API-Marktplatz, um auf einem sicheren Fundament aufzubauen.

Share on Twitter