Yicong Wang, ein chinesischer OTC-Händler, wäscht seit 2022 gestohlene Kryptowährungen für die berüchtigte nordkoreanische Hackergruppe Lazarus Group.
Wang, der unter Pseudonymen wie Seawang, Greatdtrader und BestRhea977 bekannt ist, hat durch Banküberweisungen dazu beigetragen, gestohlene Kryptowährungen im Wert von mehreren zehn Millionen Dollar in cash umzuwandeln.
Der On-Chain-Ermittler ZachXBT deckte Wangs Beteiligung auf, nachdem sich Anfang des Jahres ein Opfer gemeldet hatte, dessen Konto nach einer P2P-Transaktion mit dem Kriminellen eingefroren worden war. Das Opfer übermittelte Zach außerdem eine von Wang genutzte TRON -Wallet-Adresse, die aus einem WeChat-Chat stammte.
Wangs Rolle bei der Geldwäsche gestohlener Kryptowährungen
Zachs Recherchen ergaben, dass Yicong Wang die Geldwäsche gestohlener Gelder aus Hackerangriffen im Zusammenhang mit Lazarus ermöglichte, beispielsweise bei den Angriffen auf Alex Labs, EasyFi, Bondly und den Mitbegründer von Irys.
Konkret wurden aus diesen Hacks 17 Millionen Dollar auf einer von Wang kontrollierten Adresse konsolidiert, wobei 374.000 USDT im November 2023 von Tether auf die schwarze Liste gesetzt wurden. Nach dieser Sperrung wurden die verbleibenden Gelder schnell zu Tornado Cash, dem berüchtigten Krypto-Mixer, transferiert.
Zwischen November und Dezember 2023 wurden 13 Transaktionen über jeweils 100 ETH abgehoben und an eine andere Ethereum Adresse transferiert. Später im Dezember wurden 45.000 US-Dollar in TRONtransferiert und landeten schließlich in Wallets, die mit Wang in Verbindung stehen.
Trotz Tethers Versuchen, diese Gelder auf die schwarze Liste zu setzen, transferierte er das Geld effizient über Krypto-Mixing-Dienste.
Der Angriff von Lazarus auf Alex Labs im Mai 2024 führte zu einem Schaden von 4,5 Millionen US-Dollar. Kurz darauf zahlte eine der gehackten Adressen 470 ETH in ein Datenschutzprotokoll ein.
Derselbe Betrag wurde abgehoben und innerhalb weniger Stunden auf zwei neue Adressen überwiesen. Weitere 449 ETH folgten zwischen dem 27. und 28. Juni dieses Jahres demselben Muster und landeten auf Wangs Konten.
Mehr gestohlene Kryptowährungen gewaschen
Im Juli startete die Lazarus Group einen weiteren Angriff, diesmal gegen den Mitbegründer von Irys. Mithilfe einer Spear-Phishing-E-Mail-Kampagne erbeuteten sie Kryptowährungen im Wert von 1,3 Millionen US-Dollar. Die gestohlenen ETH wurden auf demselben Weg wie zuvor transferiert, wobei Wang die Geldwäsche unterstützte.
Am 31. Juli wurden die gestohlenen 70,8 ETH in ein Datenschutzprotokoll eingezahlt, gefolgt von weiteren 338 ETH. Auch diese Gelder wurden an mehrere Adressen gesendet, bevor sie schließlich in Wangs TRON Wallets landeten.
Bis zum 13. August hatte Wang weitere 1,5 Millionen US-Dollar in USDT aus den Hacks der Lazarus Group gewaschen. In diesem Zeitraum wurden Gelder von Ethereum zu TRONtransferiert und direkt mit seinen Konten verknüpft.
Untersuchungen dieser Transaktionen ergaben, dass eine von Tether im August auf die schwarze Liste gesetzte Ethereum Adresse mit 948.000 USDT ebenfalls mit Wang in Verbindung stand.
Bevor er auf die schwarze Liste gesetzt wurde, wurden 746.000 USDT an eine seiner Adressen überwiesen. Wang machte auch dann weiter, nachdem er wegen Geldwäsche von großen Plattformen wie Paxful und Noones gesperrt worden war.
Obwohl seine Konten unter den Pseudonymen geschlossen wurden, führte Wang weiterhin Transaktionen außerhalb des Firmengeländes durch und unterstützte die Lazarus Group bei der Geldwäsche.
Lazarus' anhaltende Bedrohung für die Kryptoindustrie
Die Lazarus-Gruppe zählt auch am 23. Oktober 2024 noch immer zu den größten Bedrohungen für die Kryptoindustrie. Sie führt weiterhin aufsehenerregende Hackerangriffe durch und zielt dabei sowohl auf zentralisierte als auch dezentralisierte Plattformen ab.
Ihre Methoden werden immer ausgefeilter. Sie nutzen Social-Engineering-Kampagnen wie die „Eager Crypto Beavers“, um Blockchain-Experten dazu zu verleiten, Schadsoftware herunterzuladen. Diese Schadsoftware stiehltdentund Zugriff auf Krypto-Wallets, wodurch Lazarus leichter Gelder abziehen kann.
Allein im Jahr 2024 war die Hackergruppe für zahlreiche größere Hackerangriffe verantwortlich. Im Juli drangen sie in die indische Kryptobörse WazirX ein und verursachten dadurch einen Schaden von über 235 Millionen US-Dollar.
Sie nahmen auch zentralisierte Plattformen wie Stake.com ins Visier, die im September 2023 einen Verlust von 41 Millionen Dollar verzeichneten, und Deribit, die im November 2022 einen Verlust von 28 Millionen Dollar hinnehmen mussten.
Obwohl die Strafverfolgungsbehörden einige Fortschritte erzielt haben, gestaltet sich die Rückgewinnung gestohlener Gelder schwierig. Das US-Justizministerium arbeitet aktiv daran, die von Lazarus gestohlenen Kryptowährungen tracund zurückzuerlangen, doch die Geldwäschemethoden der Gruppe erschweren dies.
Anfang des Monats reichte das US-Justizministerium Klagen ein, um über 2,67 Millionen US-Dollar an gestohlenen digitalen Vermögenswerten im Zusammenhang mit den Hackerangriffen auf Deribit und Stake.com zurückzuerhalten. Diese Bemühungen stellen jedoch nur einen Bruchteil der von Lazarus insgesamt gestohlenen Summe dar.
