Der On-Chain-Ermittler ZachXBT hat aufgedeckt, dass die nordkoreanische Infiltration von Kryptowährungs- und Technologieunternehmen durch gefälschte Beschäftigungsprogramme weit verbreitet ist.
Bei der Untersuchung wurden Zahlungen in Höhe von 16,58 Millionen Dollar an IT-Mitarbeiter der Demokratischen Volksrepublik Korea aufgespürt und mehrere operative Cluster in verschiedenen Projekten identifiziert.
ZachXBT enthüllt $16,58 Millionen an Zahlungen an nordkoreanische Entwickler
Die Untersuchung von ZachXBT hat Zahlungen in Höhe von 16,58 Millionen Dollar an nordkoreanische IT-Mitarbeiter seit dem 1. Januar 2025 aufgedeckt, im Durchschnitt 2,76 Millionen Dollar pro Monat durch Kryptowährungstransaktionen.
Die Zahlungsbeträge liegen zwischen 3.000 und 8.000 Dollar pro Monat und Arbeitnehmer, was auf eine Infiltration von 345 Arbeitsplätzen am unteren Ende und 920 Arbeitsplätzen am oberen Ende hinweist.
Der On-Chain-Detektiv überwacht sechs verschiedene Gruppen von nordkoreanischen IT-Mitarbeitern. Ein Cluster umfasst allein 8 verschiedene nordkoreanische Entwickler, die bei mehr als 12 Projekten tätig waren.
Zahlungsadressen aus diesem Cluster lassen sich auf zwei Konsolidierungsadressen zurückführen, die für die Sammlung und Verteilung von Geldern verwendet werden.
Sandy Nguyen, die als nordkoreanische IT-Mitarbeiterin aus diesem Cluster identifiziert wurde, wurde bei einer Veranstaltung in Russland neben einer nordkoreanischen Flagge gesichtet.
ZachXBT wies darauf hin, dass traditionelle Technologieunternehmen ebenso große Probleme mit der Infiltration haben. Aber Krypto-Zahlungen schaffen eine Rückverfolgbarkeit auf der Kette, die es ermöglicht, die Geldflüsse bis zu den anstellenden Unternehmen zurückzuverfolgen.
Die Untersuchung offenbart die systematische Ausnutzung von Fernarbeitsmöglichkeiten in verschiedenen Branchen.
Die monatlichen Zahlungsvolumina zeigen, dass es sich um anhaltende Operationen und nicht um einzelne Vorfälle handelt. Dies deutet auf eine organisierte Koordination zwischen nordkoreanischen IT-Mitarbeitern hin, die es auf westliche Technologieunternehmen abgesehen haben.
Operative Indikatoren entlarven systematische Infiltrationsmethoden
ZachXBT identifizierte mehrere rote Fahnen, die Teams entdeckten, nachdem sie nordkoreanische IT-Mitarbeiter eingestellt hatten. Das ergab konsistente operative Muster bei allen infiltrierten Projekten.
Die Mitarbeiter lehnten persönliche Treffen mit Teammitgliedern ab, obwohl sie behaupteten, in derselben Stadt zu wohnen.
Drei IT-Mitarbeiter aus demselben Cluster bewarben sich gegenseitig für eine Stelle bei demselben Projekt. Das deutet eher auf koordinierte Infiltrationsbemühungen als auf unabhängige Bewerbungen hin.
Mitarbeiter, die sich angeblich in Kalifornien befanden, benutzten während der Arbeitssitzungen russische IP-Adressen, die sich von ihren angeblichen Standorten unterschieden und die Sicherheit verletzten.
Zu den weiteren verdächtigen Aktivitäten gehören Änderungen im GitHub-Handle, die Löschung von LinkedIn-Konten und die fehlgeschlagene regelmäßige KYC-Verifizierung bei vielen Mitarbeitern.
Zahlungsströme an mehrere IT-Mitarbeiter wurden an eine Kryptowährungsadresse geleitet. Dies deutet auf koordinierte finanzielle Aktivitäten hinter scheinbar unabhängigen Auftragnehmern hin.
USDC-Zahlungen wurden direkt von Circle-Konten an drei Adressen innerhalb des beobachteten Clusters überwiesen. Von einer im April 2023 auf der Tether-Liste stehenden Adresse, die Hyon Sop Sim gehört, wurden die Gelder nur einen einzigen Schritt bewegt.
Andere Gruppen von IT-Mitarbeitern in der Demokratischen Volksrepublik Korea verfügen derzeit über beträchtliche USDC-Guthaben an mehreren Adressen.
Die Mitarbeiter üben in der Regel mehrere Funktionen gleichzeitig aus und neigen dazu, bei schlechter Leistung entlassen zu werden, was zu einer hohen Fluktuation führt.
Wenn sie erst einmal herausgefunden haben, wie sie in Teams eindringen und Verträge für sich beanspruchen können, sind die Projekte anfällig für Sicherheitsangriffe und mögliche Angriffe auf die Protokollinfrastruktur.
Bedrohung überschreitet Krypto mit 2,1 Milliarden Dollar in Raubüberfällen
ZachXBT beobachtete auch, dass nordkoreanische IT-Mitarbeiter jetzt immer mehr US-Börsenkonten wie Coinbase und Robinhood haben, was die Vermutung widerlegt, dass inländische Börsen strengere KYC/AML-Bedingungen haben als externe Börsen.
MEXC wird von IT-Mitarbeitern immer noch ausgiebig zur Geldwäsche über eine Kette von Kryptowährungsgeschäften genutzt.
Die Nutzung von Binance durch IT-Personal ist im Vergleich zu den Vorjahren drastisch zurückgegangen. Dies ist auf die verbesserten Aufdeckungssysteme und die Zusammenarbeit zwischen privaten Institutionen und Regierungsbehörden zurückzuführen, die zur Beschlagnahmung von Vermögenswerten führen.
Das Aufkommen von Neobanken und Fintech-Plattformen, die Stablecoin-Integrationen unterstützen, hat es dem IT-Personal der DVRK leicht gemacht, Fiat-Währungen in Kryptowährungen umzuwandeln.
ZachXBT stellt außerdem fest, dass Kryptowährungsprojekte nicht die meisten nordkoreanischen IT-Mitarbeiter beschäftigen, während konventionellere Tech-Unternehmen ebenso schwerwiegende oder sogar noch schwerwiegendere Probleme mit dem Eindringen haben.
Krypto-Zahlungen lassen sich auf der Kette zurückverfolgen, so dass die Ermittler das Geld bis zu den anwerbenden Firmen zurückverfolgen können, aber Fiat-Zahlungen in regulären Firmen haben diese Transparenz nicht.
Mit Nordkorea assoziierte Hackergruppen wie die Lazarus Group haben in der ersten Hälfte des Jahres 2025 etwa 2,1 Milliarden Dollar an Kryptowährung gestohlen.
Der Fall mit den größten Auswirkungen war der 1,5 Milliarden Dollar schwere Raubüberfall auf die Kryptowährungsbörse Bybit im Februar 2025, bei dem 1,6 Milliarden Dollar des gesamten Krypto-Raubes von Angreifern mit Verbindungen zu Nordkorea durchgeführt wurden.
Der Autor ist der Meinung, dass die Gruppen, die viele IT-Mitarbeiter aus der DVRK beschäftigen, immer auf einen Fehlstart hindeuten, da die Bedrohungen nicht ausgereift sind und die Rekrutierung von Mitarbeitern nicht genügend Beachtung findet.
