Nordkoreanisches Krypto-Programm aufgedeckt: 3,5 Millionen US-Dollar durch gefälschte Entwickleridentitäten gestohlen

Inhaltsverzeichnis Der renommierte Blockchain-Detektiv ZachXBT veröffentlichte diese Woche vertrauliche Informationen, die er von einem gehackten Gerät eines nordkoreanischen IT-Mitarbeiters erhalten hatte, und deckte damit ein organisiertes Kryptowährungsbetrugsprogramm auf, das innerhalb weniger Monate mehr als 3,5 Millionen US-Dollar anhäufte. Die Informationen wurden von einem anonymen Sicherheitsforscher bereitgestellt, der erfolgreich einen der Computer der Agenten infiltrierte. ZachXBT teilte seine Analyse auf Ich habe viele Stunden damit verbracht, alles durchzugehen, aber nichts davon wurde jemals öffentlich veröffentlicht. Es enthüllte eine komplizierte… pic.twitter.com/aTybOrwMHq – ZachXBT (@zachxbt) 8. April 2026 Die Mitarbeiter verwendeten gefälschte Identitäten, um Remote-Technologie-Positionen auf Jobbörsen wie Indeed zu sichern. Es gab Beweise dafür, dass Jerry Bewerbungen für Full-Stack-Entwicklungs- und Software-Engineering-Möglichkeiten einreichte und gleichzeitig Astrill VPN nutzte, um seinen geografischen Standort zu verbergen. In einem Korrespondenzentwurf, der bei der Sicherheitsverletzung entdeckt wurde, behauptete Jerry, er sei als WordPress- und SEO-Spezialist bei einem T-Shirt-Hersteller mit Sitz in Texas tätig und forderte eine Vergütung von 30 US-Dollar pro Stunde für 15 bis 20 Wochenstunden. Ein zweiter Agent, der als „Rascal“ identifiziert wurde, verwendete in Finanzdokumenten gefälschte Ausweise und eine Postanschrift in Hongkong. Die durchgesickerten Materialien enthielten auch Bilder eines irischen Passes, der Rascal zugeschrieben wurde, dessen tatsächlicher Einsatz jedoch nicht bestätigt wurde. Das Kollektiv verwaltete Finanztransaktionen über eine spezielle Website namens „luckyguys.site“. Zahlreiche Benutzerkonten auf dieser Plattform verwendeten das rudimentäre Standardpasswort „123456“, was erhebliche Sicherheitslücken im Betrieb aufwies. Die Plattform diente sowohl als Kommunikationskanal als auch als Berichtssystem. Die Mitarbeiter protokollierten ihre Einnahmen und erhielten Anweisungen über die Schnittstelle. Ein Verwaltungskonto mit der Bezeichnung PC-1234 validierte Transaktionen und verteilte Zugangsdaten für Kryptowährungsbörsen und Finanztechnologieplattformen. Drei in den kompromittierten Daten genannte Organisationen – Sobaeksu, Saenal und Songkwang – sind derzeit mit Sanktionen des US Office of Foreign Assets Control konfrontiert. Digitale Währung wurde über chinesische Finanzinstitute und Plattformen wie Payoneer in traditionelle Währung getauscht. Eine mit dem Netzwerk verbundene Tron-basierte Wallet wurde im Dezember 2024 von Tether lahmgelegt. Die kompromittierten Informationen enthüllten außerdem, dass bestimmte Mitarbeiter Diebstahlstrategien entwickelten. In den Mitteilungen wurde auf Pläne verwiesen, eine Blockchain-Initiative namens Arcano auf GalaChain mithilfe eines nigerianischen Vermittlers zu kompromittieren, obwohl in den verfügbaren Daten noch keine Bestätigung der Ausführung enthalten ist. Das Verwaltungspersonal verteilte 43 Schulungsmodule, die sich mit Reverse-Engineering-Dienstprogrammen befassten, darunter Hex-Rays und IDA Pro, wobei der Schwerpunkt auf Demontagetechniken, Debugging-Verfahren und der Malware-Untersuchung lag. Der vollständige Datensatz umfasste 390 Benutzerkonten, Kommunikationsaufzeichnungen und Browsing-Aktivitäten. Die Ermittler entdeckten, dass 33 Mitarbeiter über IPMsg innerhalb einer einzigen Netzwerkumgebung Nachrichten austauschten. ZachXBT stellte fest, dass dieses Kollektiv im Vergleich zu alternativen nordkoreanischen Cyberkriminalitätseinheiten wie AppleJeus und TraderTraitor eine geringere technische Kompetenz aufwies. Nordkoreanische staatlich geförderte Bedrohungsakteure haben seit 2009 insgesamt mehr als 7 Milliarden US-Dollar beschlagnahmt. Diese spezielle Gruppe war außerdem mit der Sicherheitsverletzung des Drift-Protokolls in Höhe von 280 Millionen US-Dollar am 1. April 2025 verbunden.