Nordkoreanische Agenten erhielten seit 2025 mehr als 16 Mio. USD in Krypto

Eine Untersuchung von ZachXBT, einem bekannten Blockchain-Analysten, hat enthüllt, dass nordkoreanische Agenten seit Januar 2025 über 16,58 Millionen US-Dollar in Kryptowährungen erhalten haben. In seinem Bericht legt er interessante Umstände offen und gibt Empfehlungen, wie man sich schützen kann.

Zahlungen umfassen alleine 2025 über 16 Mio. USD

Eine Untersuchung von ZachXBT, einem bekannten Blockchain-Analysten, der mit AI Crypto Tools arbeitet, hat alarmierende Details über die Infiltration nordkoreanischer IT-Arbeiter (ITWs) in der globalen Tech-Branche ans Licht gebracht. Demnach haben IT-Unternehmen seit dem 1. Januar 2025 über 16,58 Millionen US-Dollar – etwa 2,76 Millionen US-Dollar pro Monat – an nordkoreanische Entwickler überwiesen.

1/ My recent investigation uncovered more than $16.58M in payments since January 1, 2025 or $2.76M per month has been sent to North Korean IT workers hired as developers at various projects & companies.

To put this in perspective payments range from $3K-8K per month meaning… pic.twitter.com/pjHZG9wJ4r

— ZachXBT (@zachxbt) July 2, 2025

Tückisch ist dabei, dass diese unter falschen Identitäten in verschiedenen Projekten und Unternehmen arbeiten. Oft bauen diese Hintertüren und Angriffsvektoren für Hacks ein, um entweder Kryptowährungen oder sensible Daten zu erbeuten. Eine bekannte Gruppe, die so vorgeht, ist die berüchtigte Lazarus Group, über die wir vor kurzem im Kontext von Bitmex berichtet hatten. Die Gruppe ist mitunter für die größten Hacks in der Geschichte von Kryptowährungen bekannt.

Umfang der Infiltration

Die Zahlungen variieren zwischen 3.000 und 8.000 US-Dollar pro Monat, was auf eine Infiltration von mindestens 345 bis maximal 920 Jobs hinweist. ZachXBT hat Listen mit falschen Namen, Adressen, Ethereum Adressen , GitHub-Profilen und E-Mails veröffentlicht, sowie Fotos der beteiligten nordkoreanischen IT-Arbeiter.

In einem der sechs von ZachXBT erstellten und überwacherten Cluster konnten acht verschiedene nordkoreanische ITWs identifiziert werden, die in mehr als 12 Projekten tätig waren. Die Krypto Wallets und die dazugehörigen Zahlungsadressen führen zu zwei Konsolidierungsadressen:

0x58225fed0714e5b9b235642eba7dae3714090a2d

0xa7f9555c34626eb81b64774356a40ca1a6a794ca

Die Existenz von Konsolidierungsadressen deutet dabei daraufhin, dass die einzelnen Akteure als Gruppe zusammenarbeiten, die im Hintergrund vermutlich noch viel mehr professionell organisierte Kollaborateure haben. Diese organisieren die Geldwäsche auf dezentralen Krypto Börsen und vor allem durch Mixer wie Tornado Cash.

USDC-Zahlungen wurden direkt von Circle-Konten an drei Adressen in diesem Cluster gesendet. ZachXBT kritisiert Circle dafür, sich als sicherster Stablecoin zu vermarkten, ohne angemessene Kanäle für die Meldung illegaler Aktivitäten oder Reaktionen auf größere Vorfälle. Damit bietet es die gleiche Sicherheit, die Nutzer auch haben, wenn sie mit Bitcoin bezahlen.

Offenlegung durch OSINT

Besonders im Kryptospace gibt es viele, die die Existenz der nordkoreanischen Agenten anzweifeln und auch die Gerüchte um die Lazarus Gruppe nur um einen Vorwand für Geldwäsche anderer Organisationen halten. ZachXBT verweist jedoch auf Recherchen, die die Sichtung zumindest einer der besagten Agenten festhalten.

3/ Sandy Nguyen (@bullishgopher) a DPRK ITW from this cluster was spotted via OSINT next to the North Korea flag at an event in Russia.

A small group of people still believe North Korean devs are just a conspiracy despite all of the IOCs, research, etc widely available. pic.twitter.com/itcRoZSlQ3

— ZachXBT (@zachxbt) July 2, 2025

Quelle für diese Recherche ist OSINT, also (Open-Source Intelligence). User durchsuchen dabei öffentlich zugängliche Quellen z.B. Online-Nachrichten oder soziale Medien. So konnte OSINT einen der nordkoreanischen ITWs bei einem Event in Russland identifizieren. Es handelte sich dabei um “Sandy Nguyen” (Fake Name), der von Medien und anderen Stadionbesuchern mit gleich mehrfach mit nordkoreanischer Fahne fotografiert wurde.

Warnsignale und Empfehlungen für betroffene Unternehmen

ZachXBT macht dabei auch auf mehrere Warnsignale aufmerksam, auf die IT-Unternehmen achten sollten, wenn sie neue Mitarbeiter einstellen. Ein häufiges Indiz sei zum Beispiel die Verweigerung persönlicher Treffen, obwohl die ITWs angeben, in derselben Stadt zu leben.

Zudem empfehlen sie sich gegenseitig für Jobs, was Verdacht erregen sollte. Ein weiteres Alarmsignal sind russische IP-Adressen, obwohl die Personen behaupten, beispielsweise aus Kalifornien zu stammen. Häufig ändern sie ihre GitHub-Benutzernamen oder löschen LinkedIn-Profile, um Spuren zu verwischen.

Zahlungen für mehrere ITWs fließen oft an dieselbe Ethereum-Adresse, was auf koordinierte Aktivitäten hinweist. Schließlich scheitern sie regelmäßig an KYC-Prüfungen (Know Your Customer), die zur Identitätsverifizierung dienen. Diese Muster deuten auf systematische Täuschungsmanöver hin, die Projekte gefährden können, und unterstreichen die Notwendigkeit strengerer Sicherheitsmaßnahmen in der Tech-Branche.

Die Infiltration erstreckt sich dabei nicht nur auf Krypto-Projekte, sondern auch auf traditionelle Tech-Unternehmen. Fiat-Zahlungen erschweren die Rückverfolgbarkeit im Vergleich zu Krypto, wobei Neobanken und Fintechs mit Stablecoin-Integrationen den Einstieg erleichtern.