Lazarus-Gruppe: Wie nordkoreanische Cyberakteure Kryptowährungen stehlen
Eine Hackergruppe hat mehr Kryptowährung gestohlen als je zuvor. Und sie arbeitet für eine Regierung. Die Lazarus-Gruppe ist die staatliche Hackeroperation Nordkoreas, und für sie ist der Diebstahl von Kryptowährungen kein Nebenverdienst. Es ist ihr Hauptberuf, eine wichtige Einnahmequelle mit entsprechenden Gehältern. In einem guten Jahr – nach ihren Maßstäben – schöpft die Gruppe über zwei Milliarden Dollar von Kryptobörsen, Zahlungsbrücken und herkömmlichen Wallets ab. Der Großteil davon ist verschwunden, bevor überhaupt jemand Anzeige erstattet.
Dieser Leitfaden erklärt, wer die Drahtzieher sind, welche großen Raubzüge mit ihnen in Verbindung stehen, wie ein Angriff genau abläuft, wie das Geld gewaschen wird und wie viel davon verschwunden ist. Der Fokus liegt dabei auf Kryptowährungen. Dort spielt sich die Geschichte aktuell ab.
Wer die Lazarus-Gruppe wirklich ist
Vergessen Sie das Bild eines einsamen Hackers im Kapuzenpulli. Die Lazarus-Gruppe ähnelt eher einer Regierungsbehörde mit festangestellten Mitarbeitern. Westliche Behörden bringen sie mit dem nordkoreanischen Aufklärungsbüro, dem wichtigsten Auslandsgeheimdienst des Landes, und den Einheiten, die mitunter als Büro 121 bezeichnet werden, in Verbindung. Cybersicherheitsforscher betrachten sie als eine einzige Bedrohungsgruppe, obwohl sie in der Praxis ein Zusammenschluss von Teams ist, die die offensiven Cyberoperationen der nordkoreanischen Regierung durchführen. Die Hacker sind ausgebildet, bezahlt und haben klare Aufgaben; ihre Zielliste wird vom Staat vorgegeben.
Die Gruppe tritt unter verschiedenen Namen auf, je nachdem, wer den Bericht verfasst: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Analysten unterteilen sie in Unterteams mit unterschiedlichen Aufgaben. BlueNoroff jagt Banken und Kryptofirmen, um Geld zu erpressen, Andariel konzentriert sich auf Spionage und Sabotage, und die übergeordnete Gruppe Lazarus ist für die spektakulären Angriffe verantwortlich. Sie ist seit etwa 2009 in irgendeiner Form aktiv und zählt damit zu den dienstältesten und finanziell motiviertesten Bedrohungsakteuren weltweit.
Was Lazarus von den meisten staatlichen Hackern unterscheidet, ist das Motiv. Russland und China betreiben hauptsächlich Spionage. Nordkorea hingegen finanziert sich durch Diebstahl. Im September 2019 verhängte das US-Finanzministerium Sanktionen gegen Lazarus und zwei verbundene Gruppen, BlueNoroff und Andariel, und bezeichnete sie als verlängerten Arm des nordkoreanischen Staates. Ein Sicherheitsunternehmen brachte die Gruppe treffend auf den Punkt: ein kriminelles Syndikat mit Flagge.
Von Sony zu WannaCry: Die frühen Jahre
Vor dem Krypto-Boom machte sich Lazarus mit Chaos einen Namen. Der 2014er-Hit bei Sony Pictures Entertainment brachte Guardians of Peace unter Vertrag, löschte Systeme, veröffentlichte unveröffentlichte Filme und legte jahrelang interne E-Mails offen. Das offensichtliche Motiv? Eine Komödie, die den nordkoreanischen Machthaber verhöhnte. Laut, politisch, destruktiv. Noch nicht profitabel.
Als Nächstes kam das Geld. 2016 wäre der Gruppe beinahe einer der größten Bankraubversuche aller Zeiten gelungen: Sie verschickte gefälschte SWIFT-Nachrichten, um 951 Millionen Dollar vom Konto der Bangladesh Bank bei der New Yorker Fed abzuheben. Ein Tippfehler und eine Portion Glück verhinderten den Großteil des Diebstahls. Rund 81 Millionen Dollar entkamen dennoch. Dieser Cyberangriff bewies, dass Lazarus Finanzinstitute mit einem Computer ausrauben konnte, und machte staatliche Cyberkriminalität zu einem lukrativen Geschäft.
Dann kam 2017 WannaCry, ein Ransomware-Wurm, der Hunderttausende Rechner in rund 150 Ländern lahmlegte und dabei auch britische Krankenhäuser außer Gefecht setzte. Er war schlampig und brachte kaum etwas ein. Aber er demonstrierte seine Reichweite. Als Kryptowährungen also erwachsen wurden, hatte Lazarus bereits ein Jahrzehnt Erfahrung darin, Geld zu transferieren, auf das es kein Recht hatte.
Warum nordkoreanische Hacker Kryptowährungen ins Visier nehmen
Für ein vom globalen Bankensystem abgeschnittenes Regime ist Kryptowährung beinahe zu bequem. Sanktionen können ein Bankkonto einfrieren und eine SWIFT-Überweisung blockieren, aber niemand kann verhindern, dass eine Wallet Geld empfängt. Kryptowährungen bewegen sich innerhalb von Minuten über Grenzen hinweg, werden unwiderruflich abgewickelt und können mithilfe von Tools, die zur Verschleierung der Transaktionsspur entwickelt wurden, umgeleitet werden.
Nordkorea hat also umgesattelt. Warum ein Banküberfall riskieren, der mit einem einzigen Anruf rückgängig gemacht werden kann, wenn ein Bridge-Exploit zehnmal so viel einbringt und nicht zurückgefordert werden kann? Die wirtschaftlichen Verhältnisse sind eindeutig zugunsten des Angreifers. Eine fehlgeschlagene SWIFT-Überweisung wird eingefroren und zurückgeschickt; ein erfolgreicher Bridge-Drain ist endgültig, sobald der Block bestätigt ist. Es gibt keine Gegenpartei, die kontaktiert werden könnte, keine Rückbuchung, kein Gericht mit Zuständigkeit für eine Wallet. Ermittler und die UN schätzen, dass gestohlene Kryptowährungen einen großen Teil der Deviseneinnahmen des Landes und einen bedeutenden Teil seines Waffenprogramms ausmachen, wobei diese genauen Prozentsätze eher auf Geheimdiensterkenntnissen als auf offenen Büchern beruhen.
Die größten Krypto-Raubzüge der Lazarus-Gruppe
Die Zahlen klingen schon lange nicht mehr nach Verbrechen. Sie lesen sich wie ein Staatshaushalt. Der größte Einzeldiebstahl, der Bybit-Hack, ist größer als die nächsten paar zusammen und größer als jeder andere Bankraub in der Geschichte, der nichts mit Kryptowährungen zu tun hatte.
| Raubüberfall | Datum | Menge | Verfahren |
|---|---|---|---|
| Bybit | Februar 2025 | ~1,5 Mrd. USD | Manipulierte Multisig-Signaturschnittstelle |
| Ronin-Brücke (Axie) | März 2022 | ~625 Mio. USD | Gestohlene private Validator-Schlüssel |
| DMM Bitcoin | Mai 2024 | ~308 Mio. USD | Gefälschter Personalvermittler, kompromittierter Mitarbeiter |
| WazirX | Juli 2024 | ~235 Mio. USD | Sicherheitslücke in der Wallet-Infrastruktur |
| Harmony Horizon | Juni 2022 | ~100 Mio. USD | Kompromittierte Brückenschlüssel |
| Atomic Wallet | Juni 2023 | >100 Mio. USD | Schädliches Software-Update |
Bei genauer Betrachtung zeigen sich immer wieder dieselben Schwachstellen. Der Diebstahl bei Ronin funktionierte, weil die Angreifer nach der Kompromittierung eines leitenden Entwicklers fünf der neun Validierungsschlüssel, die die Bridge sicherten, unter ihre Kontrolle brachten – genug, um ihre eigenen Auszahlungen zu genehmigen. Bybit ging subtiler vor: Anstatt die Cold Wallet zu knacken, manipulierten die Angreifer die Benutzeroberfläche, die die Unterzeichner sahen. So genehmigte das Team eine Überweisung, die routinemäßig aussah, aber alles andere als das war. In beiden Fällen hielt die Kryptografie stand. Die Menschen und die Software versagten.
Die Beträge variieren je nach Quelle, da sie üblicherweise an den Tageskurs des Tokens gekoppelt sind, und Lazarus bevorzugt volatile Vermögenswerte wie Ether zu stehlen. Die Ronin-Beute schwankt je nach Quelle zwischen etwa 540 und 625 Millionen US-Dollar, während Bybit mit 1,4 bis 1,5 Milliarden US-Dollar gehandelt wird. Das zugrundeliegende Muster ist jedoch immer gleich: Es geht darum, Bridges , Kryptowährungsbörsen und Wallet-Software ins Visier zu nehmen – die Schwachstellen, bei denen ein einziger Fehler ein Vermögen freisetzt.
Wie sich ein Hack der Lazarus Group entfaltet
Und hier kommt der überraschende Teil: Diese rekordverdächtigen Diebstähle beginnen selten mit einer außergewöhnlichen, unaufhaltsamen Heldentat. Sie beginnen damit, dass jemand getäuscht wird. Der raffinierte, unumkehrbare Teil kommt erst danach, wenn das Geld verschwinden muss.
Der Weg hinein: gefälschte Stellenanzeigen und Phishing
Lazarus ist geduldig und kontaktfreudig. Seine altbekannte Masche, oft als „Operation Traumjob“ bezeichnet, besteht darin, sich auf LinkedIn oder in Entwickler-Communities als Personalvermittler auszugeben und eine Traumstelle in einem seriös wirkenden Unternehmen anzubieten. Irgendwann im Bewerbungsprozess taucht dann ein angeblicher Programmiertest oder eine PDF-Datei auf, deren Öffnung Schadsoftware installiert. Der Bitcoin-Diebstahl bei DMM soll genau so begonnen haben: Ein falscher Personalvermittler kompromittierte einen Mitarbeiter eines verbundenen Unternehmens. Dieselbe Vorgehensweise wurde branchenweit gegen Entwickler eingesetzt, indem präparierte npm-Pakete und GitHub-Repos als legitime Arbeitsproben getarnt wurden. Keine Firewall kann einen Entwickler aufhalten, dem gesagt wurde, die Datei sei eine Arbeitsaufgabe. Genau deshalb öffnet Social Engineering – und nicht etwa eine unknackbare Sicherheitslücke – die meisten dieser Türen.
Gefälschte IT-Mitarbeiter im Gebäude
Der neueste Trick ist noch dreister: Anstatt einzubrechen, bewirbt sich Nordkorea um die Jobs. Tausende nordkoreanische IT-Fachkräfte geben sich als Remote-Entwickler aus und nutzen gestohlene amerikanische Identitäten sowie Laptop-Farmen, die von lokalen Vermittlern betrieben werden. So sieht es aus, als würden sie sich aus Texas und nicht aus Pjöngjang einloggen. Sobald sie bei westlichen Technologie- und Krypto-Unternehmen angestellt sind, schleusen sie ihre Gehälter nach Hause und schaffen sich mitunter Zugangsdaten für einen späteren Diebstahl. Das US-Justizministerium geht gegen beide Seiten dieses Systems vor, darunter ein Verfahren gegen vierzehn Nordkoreaner im Dezember 2024 und Maßnahmen gegen die in den USA ansässigen Vermittler, die die Laptops bereitgestellt haben, im Jahr 2025. Es handelt sich um Spionage, getarnt als Gehaltszahlung.
Auszahlung: Mixer und Brücken
Der Diebstahl der Kryptowährungen ist die halbe Miete; die schwierigere Hälfte ist deren Ausgabe. Lazarus schleust gestohlene Gelder über Mixer wie Tornado Cash (2022 von den USA sanktioniert) und Sinbad (Ende 2023 sanktioniert) und transferiert sie dann über Blockchains mittels Bridges und Swaps zwischen verschiedenen Assets, um die Spuren zu verwischen, bevor sie über Börsen mit schwachen Sicherheitsvorkehrungen ausgezahlt werden. Der Prozess ist schnell und automatisiert; nach dem Bybit-Skandal beobachteten Ermittler, wie die Gelder innerhalb weniger Stunden in Hunderten von Wallets verteilt wurden. Es handelt sich um Geldwäsche im industriellen Maßstab, und sie funktioniert so oft, dass das Regime sie weiterhin anwendet.
Wie viel hat die Lazarus-Gruppe gestohlen?
Betrachtet man die Zahlen aus der Distanz, sind sie kaum zu fassen. Laut Chainalysis erbeuteten Hacker mit Verbindungen zu Nordkorea im Jahr 2025 Kryptowährungen im Wert von rund 2,02 Milliarden US-Dollar – ein Anstieg von 51 Prozent gegenüber dem Vorjahr. Damit übersteigt der Gesamtschaden die Marke von 6,75 Milliarden US-Dollar. Schätzungsweise 76 Prozent aller weltweit aus Kryptodiensten gestohlenen Werte entfielen im Jahr 2025 auf Nordkorea. Ein einziger Staat, drei Viertel des Schadens.
| Zeitraum | Gestohlen (Krypto) | Quelle |
|---|---|---|
| 2024 (von Regierungen bestätigt) | ~659 Mio. USD | Gemeinsame Erklärung der USA, Japans und Südkoreas |
| 2024 (vollständige Quellenangabe) | ~1,19 Mrd. USD | Kettenanalyse / Mandiant |
| 2025 | ~2,02 Mrd. USD | Kettenanalyse |
| Gesamtzeit (Untergrenze) | ~6,75 Mrd. USD | Kettenanalyse |
Die Zahlen für 2024 weichen voneinander ab, da sie unterschiedliche Aspekte erfassen: Regierungen bestätigten einige wenige konkrete Angriffe, während Analyseunternehmen durch On-Chain-Tracing weitere Fälle identifizierten. Der Trend zeigt jedoch in jedem Fall nach oben. Ein UN-Expertengremium zählte zwischen 2017 und 2023 rund 58 mutmaßliche nordkoreanische Krypto-Angriffe im Wert von etwa 3 Milliarden US-Dollar – also noch vor der Erhebung der Daten für 2024 und 2025. Dasselbe Gremium berichtete, dass diese Gelder zur Finanzierung des nordkoreanischen Waffenprogramms beitragen. Diese Behauptung stützt sich zwar eher auf Geheimdiensterkenntnisse der Mitgliedstaaten als auf geprüfte Jahresabschlüsse, rückt aber jeden Börsenangriff in ein geopolitisches Licht.
Sanktionen, Anklagen und die Reaktion
Was kann man also konkret dagegen tun? Sie benennen, sanktionieren, anklagen. Verhaften? Fast nie, denn sie sitzen in Pjöngjang.
Die Beweislage ist mittlerweile lang. Das Finanzministerium setzte Lazarus bereits 2019 auf die schwarze Liste und ging anschließend gegen die von ihnen genutzten Geldvermittler Tornado Cash und Sinbad vor. Auch die Staatsanwaltschaft schloss sich an und erhob bereits 2021 Anklage gegen namentlich genannte Hacker und zuletzt gegen die Verantwortlichen des Netzwerks, das gefälschte IT-Mitarbeiter anwarb. Viel Glück bei der Vollstreckung der Haftbefehle.
Die Rückzahlung des Geldes ist noch seltener. Nach dem Diebstahl bei Ronin gelang es den Ermittlern mit Hilfe des FBI und Chainalysis, einen Teil der Gelder zurückzuerlangen . Nur einen Teil. Der Rest war weg. Sanktionen verlagern das Problem meist nur: Setzt man Tornado Cash auf die schwarze Liste, landet das Geld bei Sinbad; bestraft man Sinbad, sucht sich die Gruppe den nächsten Abnehmer. Jeder Schritt macht die Geldabhebung teurer und undurchsichtiger. Nichts davon stoppt den Diebstahl an der Quelle. Man kann eine Regierung nicht ausliefern.
Kann die Lazarus-Gruppe gestoppt werden?
Ehrlich gesagt, nicht allein durch Sanktionen. Die entscheidende Verteidigung beginnt vor dem Datenleck und liegt in der Verantwortung von Börsen und Nutzern, nicht von Staatsanwälten. Das bedeutet hardwaregestützte Genehmigungen für große Überweisungen, die Behandlung unerwünschter Anwerber als Bedrohung und nicht als Chance sowie die Verhinderung, dass ein einziger kompromittierter Laptop große Summen veruntreut. Es bedeutet auch, zu überprüfen, was tatsächlich signiert wird, anstatt einem Bildschirm zu vertrauen – genau diese Lücke kostete Bybit über eine Milliarde Dollar. Die Asymmetrie ist eklatant: Verteidiger müssen jedes Mal richtig liegen, während Lazarus nur einen einzigen Entwickler benötigt, um eine einzige Datei zu öffnen. Das realistische Ziel ist nicht die Eliminierung der Gruppe, sondern jeden Diebstahl zu verlangsamen, zu verkleinern und die Geldwäsche zu erschweren, sodass die nächste Milliarden-Dollar-Lücke gar nicht erst entsteht.
Warum die Lazarus Group für Kryptowährungen relevant ist
Lazarus nutzte die Stärken von Kryptowährungen – ihre Grenzenlosigkeit und Unwiderrufbarkeit – und instrumentalisierte sie zur Staatsfinanzierung. Die unangenehme Erkenntnis daraus: Dasselbe System, das Geld von Banken befreit, macht es auch unwiederbringlich. Kryptosicherheit ist nicht länger nur eine persönliche Sorge um die eigenen Schlüssel; sie ist zu einer Frage der nationalen Sicherheit für mehrere Länder gleichzeitig geworden. Jede ungeprüfte Brücke und jede Börse mit laxen Kontrollen ist ein potenzieller Posten im Raketenbudget. Die entscheidende Frage ist, wie sich ein offenes, erlaubnisfreies Finanzsystem gegen einen geduldigen, finanzstarken Gegner verteidigt, der groß angelegten Diebstahl als außenpolitische Angelegenheit betrachtet.
