Nordkoreas Lazarus-Gruppe beginnt mit Hackerangriffen auf Privatanleger; ein Händler verliert Kryptowährungen im Wert von über 5,2 Millionen US-Dollar

Die nordkoreanische Lazarus-Gruppe wird laut dem Blockchain-Ermittler ZackXBT mit einem Cyberangriff in Verbindung gebracht, bei dem am 24. Mai über 5,2 Millionen US-Dollar von einem Kryptohändler gestohlen wurden. Der Diebstahl erfolgte durch einen ausgeklügelten Malware-Angriff, bei dem Gelder aus verschiedenen Wallet-Typen, darunter Multisignatur-Wallets, extern verwaltete Konten (EOAs) und Börsen-Wallets, abgezogen wurden. 

Der Vorfalldentvon ZackXBT bekannt wurde Kanal , ließ vermuten, dass die Gruppe ihren Fokus von vermögenden Privatpersonen und Unternehmen hin zu einzelnen Intraday-Händlern verlagern könnte. 

Nach dem Diebstahl wurden etwa 1.000 ETH in Tornado Cash, einen Krypto-Mixing-Dienst, der häufig zur Verschleierung der Herkunft gestohlener digitaler Vermögenswerte genutzt wird, transferiert. Die gestohlenen Vermögenswerte wurden anschließend umgehend auf dem freien Markt liquidiert.

Adressen trac, Tornado Cash zur Geldwäsche verwendet

ZachXBTs Kanal listete drei Ethereum -Adressen auf, die mit dem Diebstahl in Verbindung stehen. Neben kleineren Token-Beständen von QBX, Blocklords, Astra Protocol und DAI im Gesamtwert von etwa 1.340 US-Dollar wies die Hauptadresse mehr als 40 ETH auf, was nach aktuellem Marktwert etwa 107.000 US-Dollar entspricht. Es wird vermutet, dass diese Gelder aus den Erträgen des Malware-Angriffs stammen.

Am vergangenen Wochenende wurden über die zweite, offenbar neue Adresse lediglich neun Transaktionen abgewickelt. Dabei wurden mehr als 200 ETH an die Hauptadresse gesendet. Zum Zeitpunkt der Veröffentlichung dieses Artikels befanden sich auf der anderen Kryptoadresse rund 2,7 Millionen US-Dollar in DAI, was den Großteil der gestohlenen Gelder ausmachte.

Dieses Verhaltensmuster deckt sich mit den Ergebnissen einer kürzlich von TRM Labs durchgeführten Studie, die das weltweite Netzwerk russischer krimineller Organisationen und chinesischer OTC-Broker detailliert beschreibt, das Nordkorea zur Geldwäsche seiner illegalen Gewinne nutzt.

Der Bericht behauptet, dass Lazarus das technische Fachwissen liefert, während ihre Partner die Kanäle bereitstellen, um gestohlene Gelder legal in die Märkte zu integrieren.

Geldwäsche setzt sich im zweiten Quartal 2025 fort 

Im April berichtete das Blockchain-Analyseunternehmen SpotOnChain, dass eine Wallet, die mutmaßlich mit Lazarus in Verbindung steht, 40,78 Wrapped Bitcoin (WBTC) für 3,51 Millionen US-Dollar verkauft hat. Die Bitcoin, die ursprünglich im Februar 2023 für rund 999.900 US-Dollar erworben wurden, als der WBTC-Kurs bei 24.521 US-Dollar lag, wurden für 83.459 US-Dollar pro Coin verkauft, was einem Gewinn von 251 % innerhalb von zwei Jahren entspricht. 

Heute verkaufte die Lazarus-Gruppe (nordkoreanische Hacker) 40,78 $WBTC (3,51 Mio. $) und erzielte damit einen Gewinn von 2,51 Mio. $ (+251 %) – nachdem sie diese vor 2 Jahren gekauft hatte.

Sie investierten 999,9K $USDT zu erwerben $WBTC , und verkauften sie $ETH vor nur 12 Stunden

Die Hacker dann… pic.twitter.com/KYQmqnJnIC

— Spot On Chain (@spotonchain) 3. April 2025

Der Erlös wurde in 1.847 ETH umgewandelt und später auf drei Wallets aufgeteilt. Der größte Teilbetrag von 1.865 ETH konnte zu einer weiteren Wallet tracwerden, die Berichten zufolge von der Gruppe betrieben wurde. Anstatt die umgewandelten ETH zu behalten, verteilte Lazarus 2.507 ETH auf mehrere Adressen.

Auch dem berüchtigten Hackerangriff auf die Kryptobörse Bybit, bei dem 1,5 Milliarden US-Dollar erbeutet wurden, standen Verbindungen zu nordkoreanischen Hackern zugrunde. Nach dem Angriff soll die Gruppe innerhalb von nur zehn Tagen fast 500.000 ETH (umgerechnet etwa 1,39 Milliarden US-Dollar) in mehreren Transaktionen gewaschen haben. 

Der aktuelle Stand von Bybit beträgt 49,9 % der ETH (13,9 %)

Der ETH-Anteil beträgt 23 % (ca. 2.780 US-Dollar bzw. 2.130 US-Dollar)

Die aktuelle Version von THORChain beträgt 59 $ und die aktuelle Version 550 $万的手续费收入

本文由 #Bitget｜@Bitget_zh 赞助 https://t.co/osoKNzFhkG pic.twitter.com/QUWuMmV6zH

– 余烬 (@EmberCN) 4. März 2025

Mindestens 605 Millionen US-Dollar flossen an einem einzigen Tag über das dezentrale Liquiditätsprotokoll THORChain. Die Blockchain-Analyseplattform Arkham Intelligence schätzt jedoch, dass Wallets, die mit Lazarus verbunden sind, immer noch Kryptoreserven im Wert von rund 1,1 Milliarden US-Dollar halten, darunter bedeutende Bestände an BitcoinEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereumund Tether.

Cyberkriminalität finanziert nukleare Ambitionen

Die Ermittler der Vereinten Nationen, die die Einhaltung , gehen davon aus, dass die Erlöse aus diesen Cyberangriffen in Nordkoreas Waffenentwicklungsprogramme fließen. Berichten zufolge nutzte das Land zwischen 2017 und 2023 Kryptoeinnahmen, um seine Raketentechnologie zu verbessern und so seine Fähigkeit zu erhöhen, Ziele weit jenseits der koreanischen Halbinsel anzugreifen.

In einem im vergangenen Dezember veröffentlichten Bericht bestätigte , dass Hacker mit Verbindungen zum Regime im Jahr 2024 bei 47 Vorfällen Kryptowährungen im Wert von über 1,3 Milliarden Dollar gestohlendent.

„Hacker mit Verbindungen zu Nordkorea sind für ihre ausgeklügelten und unerbittlichen Methoden berüchtigt“, heißt es in der Analyse von Chainalysis. Diese Bemühungen würden genutzt, um internationale Sanktionen zu umgehen und die illegalen Operationen des Staates zu finanzieren.