Die zunehmende Verbreitung von Kryptowährungen hat auch das Interesse von Cyberkriminellen und staatlich geförderten Akteuren geweckt, die versuchen, Zugang zu sensiblen Daten und Systemen von Krypto-Organisationen zu erhalten. Einer der jüngsten Fälle, der große Aufmerksamkeit erregt hat, stammt von der renommierten US-Kryptobörse Kraken. Dort wurde ein nordkoreanischer Hacker während eines scheinbar gewöhnlichen Vorstellungsgesprächs identifiziert – ein Fall, der verdeutlicht, wie komplex und raffiniert Angreifer heutzutage vorgehen. Kraken beschreibt in einem Blogbeitrag vom 1. Mai 2025, wie eine Bewerbungsphase für eine technische Position zu einem aufwendigen Informationsabwehr- und Aufklärungsprozess wurde.
Es begann alles ganz normal, doch schon früh traten Unstimmigkeiten auf: Der Bewerber nahm unter einem anderen Namen am Interview teil als in der Bewerbung angegeben und änderte während des Gesprächs gelegentlich sogar seine Stimme. Diese auffälligen Verhaltensweisen weckten bei den Sicherheitsexperten sofort Misstrauen. Entgegen der üblichen Praxis, solche Bewerbungen direkt abzulehnen, entschied sich Kraken, den Prozess bewusst fortzusetzen. Ziel war es, mehr über die eingesetzten Taktiken der Angreifer herauszufinden. Diese strategische Entscheidung zahlte sich letztlich aus, denn das Unternehmen konnte eine ganze Reihe von Indizien und Beweisen sammeln, die das Bewerberprofil als falsche Identität entlarvten.
Die Rolle der internationalen Sanktionen gegen Nordkorea spielt in diesem Zusammenhang eine zentrale Rolle. Die rigiden Maßnahmen, die das Land international isolieren, führen dazu, dass die nordkoreanische Regierung und ihre Unterstützer zunehmend auf cyberkriminelle Aktivitäten setzen, um Devisen zu beschaffen. Insbesondere Krypto-Unternehmen stehen hierbei im Fokus, da im Jahr 2024 bereits Milliarden von Dollar in Form von Kryptowährungen entwendet wurden. Kraken erhielt zuvor Warnhinweise von Partnerorganisationen innerhalb der Krypto-Branche, die vor aktiven nordkoreanischen Antragstellern auf Jobs warnten. Dadurch konnte schnell ein Zusammenhang hergestellt werden: Die E-Mail-Adresse, mit der sich der Hacker bewarb, stammte aus einer Liste, die mit einer bekannten nordkoreanischen Hackergruppe in Verbindung gebracht wird.
Die Sicherheitsabteilung von Kraken entdeckte zudem ein Netz von gefälschten Identitäten, mit denen sich der Angreifer bei verschiedenen Unternehmen bewarb. Ferner zeigten sich technische Auffälligkeiten, wie die Nutzung von Mac-Rechnern, die über VPN-Verbindungen remote gesteuert wurden, sowie manipulierte Ausweisdokumente, die vermutlich durch Identitätsdiebstahl erlangt worden waren. Der Lebenslauf des Bewerbers führte die Sicherheitsverantwortlichen zu einem GitHub-Profil, dessen E-Mail-Adresse in einem früheren Datenleck auftauchte. Dies untermauerte die Annahme, dass die Identität des Kandidaten nicht echt sein konnte. Zudem basierte das wichtigste Identitätsdokument des Bewerbers auf Daten, die offenbar vor zwei Jahren durch einen anderen Identitätsdiebstahl abgefischt wurden.
Im finalen Interviewtest führte der Chief Security Officer (CSO) von Kraken, Nick Percoco, gezielte Verifizierungsmaßnahmen durch. Diese sogenannten „Trap Identity Verification Tests“ sollten den Bewerber auf die Probe stellen und stellten sich als entscheidend heraus, da der Hacker diese Prüfungen nicht bestehen konnte. So wurde der Betrugsversuch endgültig aufgedeckt. Kraken betont treffend das Prinzip „Don’t trust, verify“, das im Bereich der Kryptowährungen eine herausragende Bedeutung besitzt. Percoco weist darauf hin, dass staatlich geförderte Angriffe nicht nur ein Problem für Krypto-Unternehmen oder amerikanische Unternehmen sind, sondern eine globale Bedrohung darstellen, der mit höchsten Sicherheitsmaßnahmen begegnet werden muss.
Die Vorfälle mit nordkoreanischen Hackern beschränken sich nicht nur auf Kraken. Die berüchtigte Gruppe Lazarus, die Nordkorea zugerechnet wird, galt als Drahtzieher des bislang größten Krypto-Hacks im Februar 2024, bei dem die Bybit-Börse um 1,4 Milliarden US-Dollar erleichtert wurde. Außerdem stehen Nordkorea-nahe Hackergruppen im Verdacht, 2024 Kryptowährungen im Wert von über 650 Millionen Dollar durch verschiedene Cyberangriffe gestohlen zu haben. Darüber hinaus wurden IT-Fachkräfte als sogenannte Insider angeworben, um gezielt Blockchain- und Krypto-Unternehmen von innen heraus zu schwächen. Anfang 2025 wurde zudem bekannt, dass eine Untergruppe der Lazarus-Gruppe drei Scheinfirmen gegründet hat, zwei davon sogar in den USA, welche zur Verbreitung von Schadsoftware und betrügerischen Aktivitäten im Kryptobereich genutzt wurden.
Diese Entwicklungen verdeutlichen, wie weitreichend und ausgefeilt die Strategien nordkoreanischer Hacker inzwischen sind. Indem sie sich als Bewerber tarnen, versuchen sie, ihr Zielunternehmen von innen heraus zu infiltrieren und sensible Daten oder Systeme auszuspähen. Kraken hat mit seiner Vorgehensweise, nicht vorschnell Ausweise zu akzeptieren und die Identitäten der Bewerber gründlich zu prüfen, einen wertvollen Beitrag zum Schutz der gesamten Branche geleistet. Dieses Beispiel unterstreicht die Bedeutung einer konsequenten Sicherheitskultur in der Kryptoindustrie. Von der sorgfältigen Überprüfung von Bewerbungsunterlagen über technische Scanner bis hin zu außergewöhnlichen Interviewtechniken – jede Maßnahme kann entscheidend sein, um Angriffe bereits im Keim zu ersticken.
Darüber hinaus zeigt der Fall, wie wichtig die Zusammenarbeit zwischen Kryptounternehmen und staatlichen Stellen oder Branchenpartnern ist. Der Austausch von Informationen und Warnhinweisen kann verhindern, dass mehrfach dieselben Betrugsversuche bei verschiedenen Unternehmen Erfolg haben. Angesichts der fortschreitenden Digitalisierung, der zunehmenden Bedeutung von Kryptowährungen und der immer raffinierteren Angriffsmethoden sollten Unternehmen die Lehren aus dem Fall Kraken sorgfältig analysieren und ihre Sicherheitsmaßnahmen entsprechend anpassen. Die Kombination aus technologischer Kompetenz, wachsamem Personal und strategischer Intelligenz ist essenziell, um den immer komplexer werdenden Bedrohungen Herr zu werden. Zusammenfassend lässt sich sagen, dass die Geschichte von Kraken und dem nordkoreanischen Hacker exemplarisch zeigt, wie sich Cyberkriminelle anpassen und neue Wege finden, um Organisationen zu infiltrieren.
Gleichzeitig illustriert sie aber auch, dass mit den richtigen Schutzmechanismen, einem kritischen Blick und Durchhaltevermögen erfolgreiche Abwehr geleistet werden kann. Für die gesamte Krypto-Branche ist das ein wichtiger Weckruf, um ihre digitalen Grenzen weiter zu sichern und den globalen Herausforderungen durch staatlich unterstützte Hackerverbände entschlossen zu begegnen.
