Die Welt der Kryptowährungen steht weiterhin im Fokus nationalstaatlicher Cyberbedrohungen, insbesondere durch Nordkorea. Ein jüngster Vorfall bei der renommierten Krypto-Börse Kraken zeigt eindrucksvoll, wie ausgeklügelt die Methoden der Angreifer mittlerweile sind. Durch einen scheinbar harmlosen Bewerbungsvorgang für eine Softwareentwicklerstelle versuchte ein nordkoreanischer Hacker, sich Zugang zum inneren Betrieb der Plattform zu verschaffen. Die Enthüllung dieses Vorfalls fand am 1. Mai 2025 statt und unterstreicht zugleich die immer raffinierteren Techniken von staatlich gesponserten Hackergruppen, wie der berüchtigten Lazarus Group.
Diese Gruppierung ist bereits in mehrere spektakuläre Kryptodiebstähle verwickelt, darunter der Rekordhack auf ByBit im Februar 2025, bei dem Kryptowährungen im Wert von 1,4 Milliarden US-Dollar entwendet wurden. Der Angriff auf Kraken begann mit einem üblichen Bewerbungsprozess für eine Stelle als Softwareingenieur. Auf den ersten Blick verlief das Verfahren unspektakulär, doch im Laufe des mehrstufigen Interviewprozesses machten die Sicherheitsverantwortlichen bemerkenswerte Unstimmigkeiten aus. Der vermeintliche Kandidat gab während des Gesprächs einen anderen Namen an als auf dem eingereichten Lebenslauf, was erste Zweifel an seiner Identität aufkommen ließ. Darüber hinaus stießen die Verantwortlichen auf technische Ungereimtheiten.
So nutzte der Bewerber Mac-Desktops, die über virtuelle private Netzwerke (VPNs) gesteuert wurden, um seinen Aufenthaltsort zu verschleiern. Zusätzlich fielen Hinweise auf, die auf eine Echtzeit-Unterstützung während der Interviews hindeuteten, beispielsweise inkonsistente Stimmen, die vermuten ließen, dass der Bewerber bei den Antworten gecoacht wurde. Die Sicherheitsabteilung von Kraken unter Leitung des Chief Security Officers Nick Percoco reagierte dennoch besonnen und führte den Bewerber absichtlich durch mehrere weitere Gesprächsrunden, um das Täuschungsmuster besser zu verstehen und zu analysieren. Dabei entdeckte man ein umfangreiches Netz mehrerer falscher Identitäten, die alle mit staatlich geförderten Angriffen in Verbindung standen. Ein einfaches, aber entscheidendes Verhör bezüglich lokaler Gegebenheiten der angeblichen Wohnregion des Bewerbers führte letztendlich zur eindeutigen Enthüllung des Infiltrationsversuchs.
Dabei wurde klar, dass es sich keinesfalls um einen unbekannten, harmlosen Jobbewerber handelte, sondern um einen Agenten, der intime Einblicke in die internen Abläufe des Unternehmens erlangen wollte. Dieser Vorfall verdeutlicht einen übergeordneten Trend: Nordkoreanische Hackergruppen richten ihre Aktivitäten verstärkt auf die Blockchain- und Kryptowährungsbranche aus. Die Motivation dahinter ist klar erkennbar – die Umgehung internationaler Sanktionen und die Beschaffung von finanziellen Mitteln für das Regime. Die Lazarus Group gilt als eine der aktivsten und gefährlichsten Cyberkriminalitätsorganisationen des Landes. Ihr Vorgehen umfasst sowohl hochentwickelte technische Manipulationen als auch raffinierte soziale Angriffe, um Zugang zu sensiblen Systemen zu erlangen oder große Kryptodiebstähle zu begehen.
Ein Beispiel für die kriminelle Raffinesse der Lazarus Group ist der Angriff auf die Kryptobörse ByBit. Der erfolgreiche Diebstahl von 1,4 Milliarden US-Dollar war der größte Einzelbetrag, der jemals in einem Kryptohack entwendet wurde. Die Täter nutzten kompromittierte Entwicklergeräte bei Safe{Wallet}, einer angeschlossenen Firma, um in die kritischen Systeme einzudringen. Anschließend wurde das gestohlene Vermögen geschickt über sogenannte Crypto-Mixer und eine Vielzahl von Wallets verteilt, was die Nachverfolgung der Gelder extrem erschwerte. Experten von Arkham Intelligence, die die Attacke genau untersuchten, fanden heraus, dass diese Art von Geldwäsche typisch für nordkoreanische Hacker ist, die häufig bis zu 90 Prozent der erbeuteten Mittel behalten können.
Doch ByBit ist kein Einzelfall. In den letzten Jahren haben nordkoreanische Akteure weitere namhafte Krypto-Plattformen ins Visier genommen. 2024 wurden beispielsweise gezielte Angriffe auf Upbit und das Ronin Network verzeichnet, bei denen die Hacker mehr als 650 Millionen US-Dollar stehlen konnten. Diese Angriffe nutzten eine Bandbreite verschiedener Methoden aus. Dazu zählen Malware-Infizierungen, Phishing-Attacken und ausgeklügelte Social-Engineering-Techniken, die auf den Menschen hinter der Technik abzielen.
Die infiltrationsversuche durch gefälschte Stellenbewerbungen stehen dabei im Zentrum einer neuen Angriffsstrategie. Berichte zeigen, dass die Lazarus Group und andere nordkoreanische Hacker wiederholt gefälschte Jobangebote bei großen Kryptobörsen wie Coinbase oder KuCoin verschicken. Diese sogenannten „ClickFix“-Kampagnen täuschen potenzielle Mitarbeiter mit scheinbaren Intervieweinladungen, um Malware zu verbreiten oder Zugang zu internen Systemen zu erhalten. Darüber hinaus gibt es Fälle, in denen nordkoreanische IT-Fachkräfte als vermeintliche Remote-Mitarbeiter in Blockchain-Unternehmen eingeschleust wurden. Manche dieser Eindringlinge nutzen ihre Position nach der Entlassung zur Erpressung, indem sie drohen, sensible Firmendaten zu veröffentlichen.
Kraken setzte auf ein hohes Maß an Wachsamkeit und eine proaktive Sicherheitsstrategie. Dank der Kooperation mit anderen Akteuren der Branche und der konsequenten strengen Überprüfung von Bewerbern konnte der Infiltrationsversuch frühzeitig erkannt und abgewehrt werden. Dies verhinderte potenziellen Schaden wie das Einschleusen von Schadsoftware oder den Diebstahl sensibler Daten. Die Maxime von Kraken lautet „Don’t trust, verify“ – also nicht blind vertrauen, sondern gründlich prüfen. Dieses Motto gewinnt im gesamten Kryptoökosystem zunehmend an Bedeutung.
Insbesondere vor dem Hintergrund, dass nordkoreanische Hacker ihre Angriffe aus den USA zunehmend nach Europa verlagern, müssen Krypto-Unternehmen ihre Schutzmaßnahmen weiter ausbauen. Eine Kombination aus technischer Wachsamkeit und soliden, transparenten Einstellungsverfahren ist unerlässlich, um sich vor menschenzentrierten Angriffen dieser Art zu schützen. Die Vorfälle verdeutlichen darüber hinaus, dass Cyberkriminalität im Kryptosektor nicht nur durch technische Sicherheitslücken entsteht. Soziale Manipulation und gezielte Täuschung spielen eine wesentliche Rolle. Unternehmen sind daher gefordert, nicht nur auf traditionelle IT-Sicherheitsverfahren zu setzen, sondern auch spezialisierte HR-Prüfungen, Hintergrundchecks und fortlaufende Mitarbeiterschulungen zu implementieren.
Zukunftssichernde Maßnahmen müssen nicht nur technische, sondern auch personelle und organisatorische Aspekte umfassen. Die kontinuierliche Beobachtung von Cyberbedrohungen und ein enger Informationsaustausch mit anderen Marktteilnehmern können helfen, neue Angriffsmuster frühzeitig zu identifizieren. Zudem sollten Krypto-Börsen und Blockchain-Firmen verstärkt in technische Lösungen investieren, die verdächtige Aktivitäten erkennen, beispielsweise durch KI-basierte Verhaltensanalysen und Anomalieerkennung. Abschließend zeigt der aktuelle Fall bei Kraken exemplarisch, wie staatlich geförderte Hackergruppen die Chancen durch den boomenden Krypto-Markt zunehmend ausnutzen, um illegal an finanzielle Ressourcen zu kommen. Die Angreifer agieren nicht nur technisch versiert, sondern auch sozial geschickt, indem sie sich als potenzielle Mitarbeiter ausgeben und so Insiderzugang erlangen wollen.
Dies stellt eine erhebliche Gefahr für die gesamte Branche dar. Die richtige Antwort auf diese Bedrohung lautet erhöhte Wachsamkeit, systematisches Testen und Verifizieren von Bewerbern sowie eine breite Sicherheitskultur im Unternehmen. Nur so kann der Krypto-Sektor seine Innovationskraft bewahren und die wachsenden Herausforderungen durch Cyberkriminalität meistern.
