Nordkoreanische Cyberspione sind nicht mehr nur entfernte Bedrohungen

Der $285 Millionen Exploit auf Drift, eine dezentrale Börse (DEX), war der größte Krypto-Hack seit über einem Jahr, als die Börse Bybit $1,4 Milliarden einbüßte. Nordkoreanische, staatlich unterstützte Hacker wurden in beiden Angriffen als Hauptverdächtige benannt.

Diesen Herbst gaben sich Angreifer als quantitative Handelsfirma aus und näherten sich dem Protokollteam von Drift persönlich auf einer großen Krypto-Konferenz, teilte Drift am Sonntag auf X mit.

„Es ist nun klar, dass es sich um einen gezielten Ansatz handelt, bei dem Mitglieder dieser Gruppe gezielt bestimmte Drift-Beitragende persönlich auf mehreren großen Branchenkonferenzen in mehreren Ländern im Verlauf der folgenden sechs Monate aktiv aufsuchten und ansprachen“, so die DEX.

Bisher zielten nordkoreanische Cyber-Spione auf Krypto-Firmen online ab, über virtuelle Gespräche und Remote-Arbeit. Ein persönlicher Kontakt auf einer Konferenz würde normalerweise keinen Verdacht erregen, aber der Drift-Exploit sollte für Teilnehmer Anlass genug sein, neue Kontakte auf kürzlichen Events zu überprüfen.

Nordkorea erweitert Krypto-Taktiken über Hacks hinaus

Die Blockchain-Forensikfirma TRM Labs beschrieb den Vorfall als den größten DeFi-Hack des Jahres 2026 (bisher) und als den zweitgrößten Exploit in der Geschichte von Solana, nur übertroffen vom $326 Millionen Wormhole Bridge Hack 2022.

Der erste Kontakt reicht etwa sechs Monate zurück, aber laut TRM lässt sich der eigentliche Exploit auf Mitte März datieren. Der Angreifer begann damit, Gelder von Tornado Cash zu transferieren und den CarbonVote Token (CVT) zu deployen, während er mittels Social Engineering Multisig-Signer überzeugte, Transaktionen zu genehmigen, die höhere Berechtigungen einräumten.

Anschließend verschafften sie dem CVT Glaubwürdigkeit, indem sie eine große Menge prägten und das Handelsvolumen aufbliesen, um reale Nachfrage zu simulieren. Die Oracles von Drift griffen das Signal auf und behandelten den Token als legitime Anlage.

Als die zuvor genehmigten Transaktionen am 1. April ausgeführt wurden, wurde CVT als Sicherheit akzeptiert, Auszahlungslimits erhöht und Gelder in realen Vermögenswerten wie USDC abgehoben.

Im Zusammenhang: Nordkoreanischer Spion verspricht sich und offenbart Verbindungen in falschem Vorstellungsgespräch

Laut TRM übertraf die Geschwindigkeit und Aggressivität der anschließenden Geldwäsche sogar die des Bybit-Hacks.

Es gilt als sicher, dass Nordkorea groß angelegte Kryptodiebstähle wie die Drift- und Bybit-Angriffe neben langfristigen Taktiken nutzt, darunter das Einschleusen von Agenten in Remote-Arbeitsstellen bei Technologie- und Kryptounternehmen zur Erzielung eines konstanten Einkommens. Der Sicherheitsrat der Vereinten Nationen erklärte, dass solche Mittel zur Unterstützung des Waffenprogramms des Landes verwendet werden.

Sicherheitsforscher Taylor Monahan sagte, dass das Eindringen in DeFi-Protokolle auf den „DeFi-Sommer“ zurückgeht, und fügte hinzu, dass etwa 40 Protokolle Kontakt mit verdächtigen DPRK-Agenten hatten.

Nordkoreanische Staatsmedien berichteten am Donnerstag, dass das Land eine elektromagnetische Waffe und eine Kurzstreckenrakete namens Hwasong-11 mit Streumunition getestet habe.

Infiltrationsnetzwerk sorgt für stetige Krypto-Einnahmen

Eine separate Untersuchung zeigte, wie ein Netzwerk von Nordkorea verbundenen IT-Arbeitern durch langfristige Infiltration Millionen generierte.

Daten, die von einer anonymen Quelle stammen und von ZachXBT geteilt wurden, zeigten, dass das Netzwerk sich als Entwickler ausgab und sich in Krypto- und Tech-Firmen einbettete, dabei rund $1 Million pro Monat und mehr als $3,5 Millionen seit November erwirtschaftete.

Die Gruppe erschlich sich Jobs mit gefälschten Identitäten, leitete Zahlungen über ein gemeinsames System weiter, konvertierte die Mittel dann in Fiat und überwies sie über Plattformen wie Payoneer auf chinesische Bankkonten.

Im Zusammenhang: Bist du Freelancer? Nordkoreanische Spione könnten dich nutzen

Der Betrieb stützte sich auf grundlegende Infrastruktur, darunter eine gemeinsame Website mit gemeinsamem Passwort und interne Bestenlisten, die Verdienste verfolgen. 

Die Agenten bewarben sich ganz offen auf Stellen, indem sie VPNs und gefälschte Dokumente nutzten – ein Beweis für eine langfristige Strategie, Agenten einzuschleusen und dauerhafte Einnahmen zu erzielen.

Abwehrmaßnahmen entwickeln sich mit zunehmenden Infiltrationstaktiken

Cointelegraph stieß auf ein ähnliches Schema in einer Untersuchung 2025 unter der Leitung von Heiner García, der monatelang mit einem verdächtigen Agenten in Kontakt war.

Cointelegraph nahm später an Garcías Schein-Vorstellungsgespräch mit einem Verdächtigen teil, der sich „Motoki“ nannte und behauptete, Japaner zu sein. Der Verdächtige verließ wütend das Gespräch, nachdem er sich nicht auf seinem angeblichen Mutterdialekt vorstellen konnte.

Die Untersuchung ergab, dass Agenten geografische Beschränkungen umgingen, indem sie Geräte fernsteuerten, die physisch in Ländern wie den USA standen. Statt VPNs nutzten sie diese Maschinen direkt, sodass ihre Aktivitäten lokal erschienen.

Inzwischen haben Tech-Headhunter erkannt, dass die Person am anderen Ende eines virtuellen Jobinterviews durchaus ein nordkoreanischer Cyber-Spion sein könnte. Eine virale Abwehrstrategie besteht darin, Verdächtige zu bitten, Kim Jong Un zu beleidigen. Bislang ist diese Taktik wirksam gewesen.

Da Drift jedoch persönlich kontaktiert wurde und Garcías Ermittlungen zeigten, wie Agenten kreativ geografische Beschränkungen umgehen, passen sich nordkoreanische Akteure weiterhin an das Katz-und-Maus-Spiel an.

Bewerber in Interviews aufzufordern, Nordkoreas Oberhaupt als „fettes Schwein“ zu bezeichnen, ist vorerst eine wirksame Strategie, aber Sicherheitsexperten warnen, dass dies nicht für immer funktionieren wird.

Magazin: Phantome Bitcoin-Schecks, China verfolgt Steuern auf der Blockchain: Asia Express