Die Welt der Kryptowährungen zeigt sich immer wieder als lukratives Ziel für Cyberangriffe, insbesondere für staatlich finanzierte Hackergruppen. In einem bemerkenswerten Fall ist nun die bekannte Krypto-Börse Kraken Opfer eines gewagten Infiltrationsversuchs geworden. Ein nordkoreanischer Hacker hat versucht, sich mit falschen Identitäten als Bewerber für eine Ingenieursposition bei Kraken einzuschleusen. Dabei verfolgte er das Ziel, durch den Einstellungsprozess sensible Informationen zu gewinnen und somit tiefere Einblicke in die Sicherheitsinfrastruktur des Unternehmens zu erhalten. Die Enthüllung dieses Vorfalls öffnet ein Fenster in die raffinierten Methoden, mit denen solche Hacker operieren, und zeigt zugleich, wie wichtig Wachsamkeit und moderne Sicherheitsstrategien in der Branche sind.
Der Vorfall wurde von Kraken Ende April 2025 öffentlich gemacht, wobei die Sicherheits- und Rekrutierungsteams des Unternehmens gemeinsam daran arbeiteten, den Hacker über Wochen hinweg durch den Bewerbungsprozess zu führen. Ziel war es, das Vorgehen des Eindringlings möglichst gut zu verstehen und weitere Erkenntnisse zu gewinnen, wie solche Bedrohungen zukünftig besser abgewehrt werden können. Dabei trat der vermeintliche Bewerber unter dem Namen „Steven Smith“ auf – eine Identität, die sich im Verlauf der Ermittlungen als Fassade herausstellte. Schon während der Auswahlgespräche bemerkten die Verantwortlichen bei Kraken erste Unstimmigkeiten. Der Kandidat wechselte während der Interviews nicht nur seinen Namen, sondern auch seine Stimme, was den Verdacht auf mehrfache Coaching oder gar die Einbindung mehrerer Personen nährte.
Ferner verfügte die von ihm genutzte E-Mail-Adresse über solide Verbindungen zu bekannten Tools und Gruppen, die in der Vergangenheit mit nordkoreanischen Hackeraktivitäten in Verbindung gebracht wurden. Dies war ein erstes deutliches Warnsignal. Eine besonders intensive Untersuchung durch sogenannte Open-Source-Intelligence-Maßnahmen (OSINT) enthüllte, dass der Bewerber Teil eines weitverzweigten Netzwerks von Scheinidentitäten war. Diese Identitäten hatten teils bereits bei verschiedenen Unternehmen gearbeitet oder sich beworben, was auf ein organisiertes System zur Infiltration von Krypto-Unternehmen und vermutlich darüber hinaus hindeutet. Besonders alarmierend war die Tatsache, dass mindestens eine dieser Identitäten auf einer internationalen Sanktionsliste als ausländischer Agent geführt wurde, was die Verbindung zu einer grenzüberschreitenden, staatlich geförderten Cybercrime-Operation verdeutlicht.
Technische Anomalien gaben den Sicherheitsexperten weitere wertvolle Hinweise. So arbeitete der Bewerber mit einem über VPN gesicherten Zugang auf remote gehosteten Mac-Desktops, deren digitale Ausweise modifiziert schienen. Dies zeigte deutliche Indizien für einen Absichtsakt, der über eine bloße Täuschung hinausging und vielmehr auf ausgeklügelte Spionage abzielte. Der Einsatz solcher Techniken wurde in der Vergangenheit bereits bei anderen Angriffen nordkoreanischer Hackergruppen beobachtet. In einem Abschlussgespräch, das von Krakaens Chief Security Officer Nick Percoco selbst geleitet wurde, konnte die Täuschung schließlich vollständig aufgedeckt werden.
Zahlreiche Fragen zur persönlichen Herkunft, zum aktuellen Wohnort und beruflichen Hintergrund blieben unbeantwortet oder wurden ausweichend behandelt. Diese Verweigerung, grundlegende Angaben zu bestätigen, führte letztlich zur Enttarnung des Hackers. Percoco machte in einem Interview mit CBS deutlich, dass das Ziel solcher Aktivitäten darin besteht, geistiges Eigentum zu stehlen, finanzielle Ressourcen zu entwenden und langfristig Schaden bei technologiebasierten Unternehmen anzurichten. Parallel zu diesem Vorfall hat das US-Finanzministerium durch die Financial Crimes Enforcement Network (FinCEN)-Behörde einen Vorschlag zur Sanktionierung der in Kambodscha ansässigen Huione Group unterbreitet. Diese Gruppe gilt als bedeutende Drehscheibe für die Geldwäsche nordkoreanischer Hacker.
Zwischen August 2021 und Januar 2025 sollen über vier Milliarden US-Dollar an illiciten Geldern durch Huiones Dienstleistungen, zu denen Zahlungsabwicklung und ein illegales Online-Marktplatzangebot zählen, gewaschen worden sein. Diese Entwicklung unterstreicht nicht nur die komplexen kriminellen Strukturen, die hinter den Cyberangriffen stecken, sondern auch die enge Verzahnung verschiedener Akteure von der Täuschung bis zur Geldwäsche. Die Aktivitäten der Huione Group und damit verbundener Organisationen sind ein weiterer Beleg für die zunehmende Profitorientierung staatliches Cyberkriminalität. Die US-Regierung will mit ihrem Vorschlag zum Ausschluss dieser Gruppe aus dem US-Finanzsystem ihre effektiven Möglichkeiten zur Geldwäsche erheblich einschränken und so den Angriffsvektor für nordkoreanische Hacker weiter vermindern. Der Finanzminister Scott Bessent erklärte, dass die bevorstehenden Maßnahmen ein deutliches Signal an solche kriminellen Netzwerke senden sollen, die ihr Unwesen weltweit treiben und Milliarden von Dollar an Beute ergaunern.
Die Aufdeckung des Falles bei Kraken reiht sich in eine wachsende Liste von Angriffen auf die Krypto-Branche durch nordkoreanische Akteure ein. Bereits im Jahr 2024 wurden Berichten zufolge über 659 Millionen US-Dollar durch verschiedene Hackergruppen aus Nordkorea aus dem Sektor entwendet. Dabei bedienen sich diese Gruppen unterschiedlicher Taktiken wie Social Engineering, Malware-Einschleusung und der Nutzung von Insiderdrohungen – letztere häufig mit Hilfe eigener nordkoreanischer IT-Fachkräfte, die verdeckt operieren. Die berüchtigte Lazarus Group, ein staatlich gefördertes Hackerkollektiv Nordkoreas, wird beispielsweise für mehrere spektakuläre Krypto-Diebstähle verantwortlich gemacht. Dies schließt bedeutende Vorfälle bei den Plattformen Bybit und Upbit mit ein.
Ebenso waren nordkoreanische Akteure an den Angriffen auf Radiant Capital und DMM Bitcoin beteiligt. Durch die Enthüllungen des On-Chain-Analysten ZachXBT konnte zudem bewiesen werden, dass einige dezentrale Finanzprotokolle (DeFi) einen sehr hohen Anteil ihrer Liquidität oder Gebühren von Nutzern aus Nordkorea beziehen, was diese Plattformen zusätzlich angreifbar macht. Vor diesem Hintergrund wird deutlich, dass die Bedrohung durch nordkoreanische Hacker für Krypto-Unternehmen eine wachsende Herausforderung darstellt, die nicht nur technisches Sicherheitswissen erfordert, sondern auch eine enge Zusammenarbeit von Sicherheits- und Personalteams, um Angriffsversuche frühzeitig zu erkennen und zu stoppen. Kraken zeigte mit seiner proaktiven Herangehensweise beispielhaft, wie Unternehmen mit einer Mischung aus konventionellen Rekrutierungsprozessen und umfassender IT-Sicherheitsanalyse komplexe Angriffe identifizieren können. Die Affäre verdeutlicht zudem, wie wichtig es für Unternehmen im Krypto- und Finanzsektor ist, neben technischen Sicherungsmaßnahmen auch die Integrität und Vertrauenswürdigkeit neuer Mitarbeitender intensiv zu überprüfen.
Bedrohungen werden längst nicht mehr nur über digitale Kanäle ausgespielt, sondern finden zunehmend in den personalbezogenen Schnittstellen statt. Realitätsnahe Szenarien wie das von Kraken weisen auf eine neue Ära der Cyberabwehr hin, in der menschliche und technische Überprüfungen Hand in Hand gehen müssen. Insgesamt zeigt der Fall auch die breitere geopolitische Bedeutung von Cyberbedrohungen, die zunehmend von staatlichen Akteuren ausgehen. Nordkorea nutzt Cyberangriffe als strategisches Mittel zur Beschaffung von Devisen und technologischen Ressourcen, was Sicherheitsbehörden weltweit dazu zwingt, ihr Vorgehen ständig zu überdenken und weiterzuentwickeln. Die Kombination aus technischer Raffinesse, sozialem Manipulationspotenzial und internationaler Geldwäsche macht diese Bedrohung besonders schwer zu bekämpfen.
Aus Sicht von Kryptounternehmen heißt dies, dass Monitoring-Systeme optimiert, die Rekrutierungsprozesse kritisch hinterfragt und internationale Kooperationen im Bereich Cyberabwehr verstärkt werden müssen. Nur so kann das robuste Ökosystem geschaffen werden, was nötig ist, um das Vertrauen von Nutzern und Investoren in einem immer komplexer werdenden Markt aufrechtzuerhalten und vor Angriffen dieser Art zu schützen. Der spektakuläre Fall Kraken versus nordkoreanischer Hacker wird deshalb nicht nur als Warnsignal verstanden, sondern auch als Beispiel für effektive interne Sicherheitsprozesse, die andere Unternehmen inspirieren können. Die Kombination aus technologischem Weitblick, klaren Kommunikationsstrukturen und entschlossenem Handeln hat dazu geführt, dass ein potenziell katastrophaler Angriff vereitelt werden konnte – eine wichtige Lektion für die gesamte Branche in Zeiten global vernetzter Cyberkriminalität.
