Die Lazarus Group, eine berüchtigte nordkoreanische Hackerorganisation, hat sich erneut ins Visier von Cybersicherheitsfirmen und Behörden gebracht. Berichten zufolge bedienen sich die Akteure dieser Gruppe einer besonders raffinierten Taktik: Sie gründen offiziell registrierte Scheinunternehmen in den Vereinigten Staaten, um ahnungslose Krypto-Entwickler zu täuschen und mit schädlicher Software anzugreifen. Damit wird ein gefährlicher neuer Trend sichtbar, bei dem Cyberkriminelle zunehmend legitim wirkende Deckmantel nutzen, um das Vertrauen in der Blockchain- und Krypto-Branche auszunutzen.Die Erkenntnisse stammen vor allem von Sicherheitsforschern der US-amerikanischen Firma Silent Push, die gezielt nach Bedrohungen für die wachsende Krypto-Szene suchen. Die Sicherheitsforscher identifizierten zwei Unternehmen mit den Namen Blocknovas LLC und Softglide LLC, die angeblich in New Mexico beziehungsweise New York registriert seien.
Doch bei genauerem Hinsehen entpuppen sich beide als reine Fiktion: Die für Blocknovas angegebene Adresse in Warrenville, South Carolina, stellt sich als unbebautes Landstück heraus, während Softglide zwar an einer Adresse in Buffalo, New York, registriert ist, die jedoch zu einem kleinen Steuerbüro gehört. Kontaktpersonen existieren ebenfalls nicht.Diese scheinbar legalen US-Unternehmen sind in Wahrheit Werkzeuge einer als Lazarus Group bekannten nordkoreanischen Untergruppe, die unter der Kontrolle des Reconnaissance General Bureau – Nordkoreas Hauptauslandsgeheimdienst – arbeitet. Diese Hackerzelle zielt insbesondere auf Entwickler im Bereich Kryptowährung und Web3, offeriert ihnen gefälschte Jobangebote und führt damit Malware-Angriffe durch. Ziel ist es, Schadsoftware auf den Computern der Entwickler zu installieren, damit diese Passwörter, Zugangsdaten, und private Krypto-Wallet-Schlüssel an die Angreifer übertragen.
So können die Kriminellen nicht nur direkt Krypto-Assets stehlen, sondern auch weitergehende Angriffe auf verbundene Unternehmen durchführen.Die Lazarus Group ist international für einige der größten Krypto-Heists der letzten Jahre bekannt, darunter der jüngste Angriff auf die Plattform Bybit, bei dem Schäden in Höhe von etwa 1,5 Milliarden US-Dollar entstanden. Die Verbindung zu legal erscheinenden US-Firmen stellt daher eine neue Eskalation dar, die das Sicherheitsbewusstsein in der Blockchain-Community massiv herausfordert. Es ist ungewöhnlich und alarmierend zugleich, dass nordkoreanische Hacker tatsächlich amerikanische Firmen mit gefälschten Identitäten registrieren konnten, um ihre Operationen zu tarnen.Die Taktik der Hacker besteht darin, eine vermeintlich seriöse Anstellung anzubieten.
Angesprochen werden Entwickler in der Krypto- und Web3-Branche, welche oft sehr gefragt sind und ihr Wissen in innovativen, aber auch komplexen Projekten einsetzen. Die Hacker senden gefälschte Stellenanzeigen und führen Bewerbungsgespräche durch. Im Rahmen dieses Prozesses wird den potenziellen Opfern Malware untergeschoben, die sich als sichere Software tarnt. Sobald die Malware aktiviert ist, beginnt die heimliche Ausspähung von Zugangsdaten, Wallet-Informationen und anderen sensiblen Daten.Die Gefahr liegt nicht nur darin, dass individuelle Entwickler und deren Vermögenswerte ins Visier geraten.
Werden die Zugangsdaten kompromittiert, eröffnen sich den Angreifern indirekt auch Zugänge zu legitimen Unternehmen, die mit den Entwicklern zusammenarbeiten oder durch Projekte verbunden sind. So kann ein einzelner Angriff weitreichende Folgen für ein gesamtes Ökosystem nach sich ziehen. Die Vernetzung von Krypto-Projekten, Start-ups und Plattformen macht die Branche besonders anfällig für diesen sogenannten Supply-Chain-Angriff.Die Behörden der Bundesstaaten New York und New Mexico äußerten sich bislang zurückhaltend zu den Vorfällen. Das New Yorker Department of State lehnte es ab, weitere Kommentare zu abgefragten Unternehmen abzugeben.
Die New Mexico Secretary of State bezeichnete ihre Möglichkeiten zur Kontrolle solcher Verbindungen als begrenzt. Unterdessen agierte das Federal Bureau of Investigation (FBI) entschlossener. Am 24. April 2025 veröffentlichte die Behörde eine Domain-Sperre gegen den Blocknovas-Webauftritt und erklärte, dass dies Teil einer Aktion gegen nordkoreanische Cyberkriminelle sei. Sie hatten gefälschte Jobangebote genutzt, um Personen zu täuschen und Malware zu verbreiten.
Diese Entwicklung zeigt zugleich eine zunehmende Professionalisierung der Lazarus Group und ähnlicher staatlich geförderter Hacker-Einheiten. Während früher einfache Phishing-Mails und fragwürdige Webseiten üblich waren, setzen diese Organisationen jetzt auf täuschend echt wirkende Firmenstrukturierungen und langwierige Social-Engineering-Maßnahmen, um das Vertrauen ihrer Opfer zu gewinnen. Das verdeutlicht den immer komplexer werdenden Charakter von Cyberbedrohungen im digitalen Finanzsektor.Die Krypto-Community muss daher wachsam bleiben und im Umgang mit digitalen Bewerbungen und Jobangeboten höchste Sicherheitsstandards einhalten. Entwickler sollten bei Kontaktaufnahmen unbekannter Firmen genau prüfen, ob es sich um legitime Institutionen handelt.
Das reicht von der Überprüfung der Firmenadresse über die Suche nach realen Ansprechpartnern bis hin zur Analyse der angebotenen Stellen und allgemeiner Kommunikationsmuster. Verdächtige Firmen können außerdem bei den zuständigen Behörden gemeldet werden.Technisch gesehen empfehlen Experten den Einsatz von mehrstufiger Authentifizierung, regelmäßigen Updates der eingesetzten Software sowie den Vorsatz, Wallet-Schlüssel niemals ungeschützt auf dem Gerät zu speichern oder mit ungesicherter Software zu interagieren. Zusätzlich ist es sinnvoll, bei potenziellen Jobangeboten auf Fenster von offiziellen Jobbörsen zu setzen und den Kontakt über verifizierte Kanäle zu suchen. Sensibilisierungsschulungen innerhalb von Unternehmen können dabei helfen, Mitarbeiter für solche Angriffsvektoren zu wappnen.
Die Vorfälle rund um Blocknovas und Softglide sind beispielhafte Fälle, die zeigen, wie sich die Bedrohungslage in der Krypto-Welt verschärft. Sie fordern von Entwicklern und Unternehmen erhöhte Aufmerksamkeit, aber auch eine stärkere Zusammenarbeit mit Strafverfolgungsbehörden und Sicherheitsfirmen. Nur durch ein gemeinsames Vorgehen lassen sich diese gefährlichen Aktivitäten eindämmen ein Beitrag zur langfristigen Sicherheit der Blockchain-Technologie leisten.Schließlich unterstreicht die Geschichte der Lazarus Group auch die geopolitische Dimension der Cyberkriminalität. Nordkorea setzt Krypto-Diebstähle und Hackerangriffe verstärkt als Mittel der Staatsfinanzierung und strategischen Sicherheitsinteressen ein.
