Die globale Kryptowährungslandschaft ist einer anhaltenden und eskalierenden Bedrohung durch staatlich geförderte Cyberkriminelle ausgesetzt, wobei nordkoreanische Hackergruppen als besonders formidable Akteure hervortreten. Berichten zufolge haben diese hochentwickelten Entitäten im Jahr 2025 schätzungsweise 1,6 Milliarden US-Dollar an digitalen Vermögenswerten erfolgreich entwendet, was eine deutliche Intensivierung ihrer illegalen Finanzkampagnen gegen das aufstrebende Blockchain-Ökosystem signalisiert.
- Nordkoreanische Hackergruppen erbeuteten 2025 geschätzte 1,6 Milliarden US-Dollar an digitalen Vermögenswerten.
- Die Haupttaktik ist Social Engineering, oft mittels gefälschter Stellenangebote und KI-gestützter Kommunikation.
- Der Fokus liegt strategisch auf Cloud-Infrastrukturen bei Anbietern wie Google Cloud und AWS.
- Ab 2024 verstärkter Einsatz von groß angelegten Social-Engineering-Kampagnen, insbesondere bei IT-Stellenangeboten.
- Prominente Vorfälle umfassen Verluste von 303 Mio. USD bei DMM Bitcoin und 1,5 Mrd. USD bei Bybit (Feb. 2025).
- Das Netzwerk der Hacker, insbesondere TraderTraitor, könnte Tausende von Akteuren umfassen.
Diese Gruppen, die unter verschiedenen Bezeichnungen wie UNC4899, TraderTraitor, Jade Sleet und Slow Pisces operieren, haben ihre Methoden zur Kompromittierung von Zielorganisationen verfeinert. Eine primäre Taktik umfasst aufwendige Social-Engineering-Schemata, die sich oft als legitime Rekrutierungsversuche tarnen. Durch die Nutzung gefälschter Stellenangebote und langwierige, vertrauensbildende Kommunikation – bei der sogar künstliche Intelligenz eingesetzt wird, um die Authentizität ihrer Interaktionen zu erhöhen – manipulieren sie Einzelpersonen dazu, bösartige Software auszuführen. Dies verschafft den Angreifern Fernzugriff auf Cloud-Umgebungen von Unternehmen, was den Diebstahl kritischer Zugangsdaten und die Lokalisierung von Systemen, die an Kryptowährungstransaktionen beteiligt sind, erleichtert.
Strategische Ausrichtung auf Cloud-Infrastruktur
Analysen von Google Cloud und dem Cybersicherheitsunternehmen Wiz zeigen, dass diese Operationen mehrere Cloud-Service-Anbieter umfassen, darunter Google Cloud und Amazon Web Services (AWS). Die Ausrichtung auf die Cloud-Infrastruktur ist strategisch, da sie das Rückgrat vieler moderner Finanz- und Kryptowährungsoperationen bildet. Benjamin Read, Director of Threat Intelligence bei Wiz, hebt diese Schwachstelle hervor: „TraderTraitor konzentriert sich auf Cloud-Angriffe, weil dort die Daten – und somit das Geld – gespeichert sind. Dies gilt insbesondere für die Kryptoindustrie, die ihre Infrastruktur oft mit einem ‚Cloud-First‘-Ansatz aufbaut.“
Die Entwicklung dieser Taktiken wurde über mehrere Jahre verfolgt. Anfangs, zwischen 2020 und 2022, umfassten Angriffe häufig bösartige Kryptowährungsanwendungen, die auf JavaScript basierten. Bis 2023 verlagerte sich der Fokus auf das Einschleusen bösartigen Open-Source-Codes. Der Zeitraum von 2024-2025 hat jedoch eine deutliche Wende hin zu groß angelegten Social-Engineering-Kampagnen gezeigt, die insbesondere Kryptowährungsbörsen durch gefälschte IT-Stellenangebote ins Visier nehmen.
Erhebliche finanzielle Auswirkungen
Die finanziellen Auswirkungen dieser hochentwickelten Kampagnen sind erheblich. Zu den bemerkenswerten Vorfällen, die diesen Gruppen zugeschrieben werden, gehören der Einbruch bei der japanischen Börse DMM Bitcoin, der zu einem Verlust von etwa 303 Millionen US-Dollar führte, und ein erheblicher Exploit, der die Bybit-Börse im Februar 2025 betraf, wobei schätzungsweise 1,5 Milliarden US-Dollar kompromittiert wurden. Dies unterstreicht die Fähigkeit dieser staatlich unterstützten Operationen, der Branche beträchtlichen finanziellen Schaden zuzufügen.
Das Ausmaß der Bedrohung nimmt ebenfalls zu. Aktuelle Schätzungen deuten darauf hin, dass das Netzwerk von Hackern, die mit TraderTraitor in Verbindung stehen, Tausende umfassen könnte und über miteinander verbundene oder parallele Zellen operiert. Jamie Collier, Principal Advisor for Threat Intelligence bei der Google Threat Intelligence Group, warnt vor Selbstgefälligkeit und erklärt: „Wir sehen keine Anzeichen dafür, dass ihre Angriffe langsamer werden, und erwarten eine weitere Eskalation.“ Diese Einschätzung stimmt mit breiteren Branchenbeobachtungen überein: TRM Labs berichtete zuvor, dass der Kryptowährungssektor allein im ersten Halbjahr 2025 Gesamtverluste von über 2,1 Milliarden US-Dollar erlitten hat, was auf eine allgegenwärtige und wachsende Bedrohungslandschaft hindeutet.
Lukas ist unser Marktstratege mit Schwerpunkt DeFi und Altcoins. Er folgt Kurscharts wie ein Spürhund der Blockchain und entdeckt Trends, bevor sie viral gehen. Nach Feierabend erklärt er seinen Freunden, dass NFTs nichts mit Einhörnern zu tun haben – aber sie zu überzeugen, ist manchmal härter als ein Hard Fork.