Abstrakte Illustration der nordkoreanischen Lazarus Group: DPRK-Flagge und Bitcoin-Symbole
$7,3B
Gesamt gestohlen 2017–2026
$2,02B
Allein 2025 — absoluter Rekord
11 Tg.
Um $1,5B von Bybit zu waschen
11 Reg.
Länder, die Daten bestätigen (MSMT)

Die Lazarus Group ist kein kriminelles Kollektiv. Sie ist eine nordkoreanische Regierungsbehörde, staatlich finanziert, mit Budgets, Jahreszielen und Leistungsprämien. Die Zahlen, verifiziert von Chainalysis, TRM Labs, Elliptic, dem FBI und 11 alliierten Regierungen: über 7,3 Milliarden Dollar in acht Jahren gestohlen.

Der Coup des Jahrhunderts: Bybit, 1,5 Milliarden in 11 Tagen

Der 21. Februar 2025 ist ein Datum, das Cybersicherheitsexperten nicht so schnell vergessen werden. Um 14:13:35 UTC verliert Bybit, eine der weltgrößten Kryptobörsen mit Sitz in Dubai, die Kontrolle über rund 500.000 Ether. In Dollar: 1,5 Milliarden. Der größte Diebstahl in der Geschichte der Kryptowährungen.

Wie passierte es? Nicht durch einen direkten Angriff auf Bybit. Die Lazarus Group hatte Tage zuvor den Laptop eines Entwicklers bei Safe{Wallet} kompromittiert — dem Unternehmen, das die Multi-Signatur-Infrastruktur für Bybits Cold-Wallet-Transfers bereitstellte.

Am 19. Februar 2025 um 15:29:25 UTC war der JavaScript-Code der Safe{Wallet}-Oberfläche stillschweigend durch eine modifizierte Version ersetzt worden. Als Bybits Sicherheitsverantwortliche zwei Tage später eine Routinetransaktion einleiteten, sahen ihre Bildschirme genau das, was sie zu sehen erwarteten. Sie genehmigten etwas völlig anderes.

"Der Angriff war darauf ausgelegt, während der nächsten Bybit-Transaktion zu aktivieren. Er aktivierte sich pünktlich." — Verichains, forensische Analyse, Februar 2025

Am 26. Februar 2025 schrieb das FBI den Angriff offiziell TraderTraitor zu, einer Untereinheit der Lazarus Group, auch bekannt als Jade Sleet und Slow Pisces — dieselbe Einheit, die für den Diebstahl von 308 Millionen Dollar bei der japanischen Börse DMM Bitcoin im Mai 2024 verantwortlich war, ein Angriff so verheerend, dass er die Börse zur Schließung zwang.

Die gestohlenen Bybit-Gelder? Vollständig in 11 Tagen gewaschen. CEO Ben Zhou gab öffentlich zu, dass er während der Verfolgungsoperation die Spur von rund 300 Millionen Dollar verloren hatte. Sie wurden nicht wiedergefunden. Es war bereits zu spät.

Die Diebstahlmaschine: Wer Lazarus wirklich ist

"Die Lazarus Group und Nordkorea sind dasselbe. Es ist kein staatlich gefördertes Kollektiv im traditionellen Sinne. Es ist der Staat." — TRM Labs, Februar 2025

Die Lazarus Group operiert unter dem Reconnaissance General Bureau (RGB), dem wichtigsten Auslandsgeheimdienst der DPRK. Sie ist in spezialisierte Untereinheiten gegliedert:

UntereinheitAliasSpezialisierung
TraderTraitorJade Sleet, Slow PiscesZentralisierte Börsen, Software-Lieferketten
UNC4736Citrine Sleet, Golden ChollimaLangfristiges Social Engineering, DeFi
KimsukySpionage und Nachrichtendienst
AndarielRansomware, Wiper-Malware, Sabotage

Die Struktur ist bewusst kompartimentiert: Jede Mission ist isoliert, um die Zuschreibung zu erschweren. Aber die auf der Blockchain hinterlassenen Signaturen — wiederverwendete Malware, Geldwäscherouten, Timing-Muster — sind Spuren, die Analysten von Chainalysis, Elliptic und TRM Labs mit zunehmender Präzision gelernt haben zu erkennen.

Die Zahlen, die nicht stimmen

Aggregierte Daten, alle aus unabhängigen Primärquellen verifiziert:

JahrGestohlener BetragWichtigste Hacks
2022$1,35BRonin Bridge ($620M), Harmony ($100M)
2023$600MAtomic Wallet ($100M), Stake.com ($41M)
2024$1,34B (Rekord)WazirX ($235M), DMM Bitcoin ($305M)
2025$2,02B (+51%)Bybit ($1,5B), LND.fi, WOO X, Seedify
Jan–Apr 2026$577MDrift Protocol ($285M), Kelp DAO ($292M)
GESAMT 2017–2026$7,3B+Quelle: Chainalysis, TRM Labs, Elliptic

Der Bericht des Multilateral Sanctions Monitoring Team (MSMT) — elf Länder, veröffentlicht im Oktober 2025 — zertifizierte, dass nordkoreanische Diebstähle zwischen Januar 2024 und September 2025 2,84 Milliarden Dollar betragen: eine Zahl, die fast ein Drittel der gesamten Deviseneinnahmen des Landes im Jahr 2024 ausmacht.

In einem Land, das hauptsächlich Kohle und Arbeitskräfte exportiert, ist der Diebstahl von Kryptowährungen zu einem primären Haushaltsposten geworden.

Social Engineering: Sechs Monate für 285 Millionen Dollar

Wenn Bybit die technische Fähigkeit von Lazarus demonstrierte, zeigte der Angriff auf Drift Protocol — eine dezentralisierte Börse auf Solana — seine strategische Geduld.

Im Herbst 2025 traten Personen auf internationalen Krypto-Konferenzen als Vertreter eines "quantitativen Handelsunternehmens" auf. Es waren keine Nordkoreaner: Es waren Drittanbieter-Vermittler, die vom Regime rekrutiert und trainiert worden waren. Sie waren technisch kompetent. Sie hatten überprüfbare Berufsbiografien. Sie sprachen die Sprache der Branche fließend.

Zwischen Dezember 2025 und Januar 2026 begann die Gruppe, über eine Million Dollar als Sicherheit bei Drift Protocol zu hinterlegen. Sie interagierten mit Projektbeteiligten auf Telegram, stellten technische Fragen auf Konferenzen und bauten Vertrauen auf.

Am 1. April 2026 erfolgte der Angriff. Während der "Zusammenarbeit" geteilte Code-Repositories enthielten VS Code-Konfigurationsdateien mit bösartigen Tasks. Über Apple TestFlight verteilte Wallet-Apps versteckten Malware. Gleichzeitig mit der Angriffsdurchführung wurden die Telegram-Chats gelöscht.

285 Millionen Dollar verschwanden an einem Tag, nach sechs Monaten Vorbereitung. Blockchain-Analysten von Elliptic und TRM Labs verfolgten die Fondsströme zurück zu denselben Betreibern, die für den Hack von Radiant Capital im Oktober 2024 (53 Millionen Dollar) verantwortlich waren.

Achtzehn Tage später, am 18. April 2026, wurde Kelp DAO für weitere 292 Millionen Dollar in 46 Minuten angegriffen — durch einen Cross-Chain-Bridge-Exploit bei LayerZero. Der Kollateralschaden: 6,6 Milliarden Dollar TVL bei Aave innerhalb von Stunden durch systemische Ansteckung verdampft.

Die IT-Arbeiter, die es nicht gibt

Parallel zu den technischen Hacks betreibt Nordkorea ein ergänzendes Programm, das noch heimtückischer ist: Tausende nordkoreanischer Staatsbürger — oder in Drittländern rekrutierte Proxies — die mit falschen Identitäten Remote-Arbeit bei amerikanischen und europäischen Technologieunternehmen erhalten.

Sie arbeiten nicht für ihre Gehälter. Sie arbeiten, um Daten, Zugangsdaten und Quellcode zu stehlen. Die Gehälter selbst — bis zu 300.000 Dollar jährlich pro Mitarbeiter — werden fast vollständig an das Regime überwiesen.

Das US-Justizministerium bezifferte das IT-Workers-Programm allein auf fast 800 Millionen Dollar jährlich für Pjöngjangs Kassen (OFAC, März 2026).

Am 30. Juni 2025 koordinierte das DOJ simultane Razzien in 16 US-Bundesstaaten: 29 Finanzkonten eingefroren, 21 betrügerische Websites abgeschaltet, rund 200 Computer beschlagnahmt. Über 100 amerikanische Unternehmen waren infiltriert worden, mit gestohlenen Identitäten von mehr als 80 US-Bürgern.

Im Jahr 2026 haben sich die Operationen weiter internationalisiert: Iraner, Syrer und Saudis werden als Proxies rekrutiert, um Identitätsprüfungen zu bestehen. Das Regime nimmt gescheiterte Vorstellungsgespräche auf und analysiert sie, um Techniken zu verfeinern.

Wie das Geld verschwindet: Der 9-Phasen-Zyklus

Der vom MSMT dokumentierte Geldwäscheprozess verläuft in neun Phasen:

  1. Gestohlene Gelder werden sofort über dezentralisierte Börsen in Ethereum umgewandelt
  2. Mixer wie Tornado Cash (oder Post-OFAC-Alternativen) verschleiern die Spuren
  3. ETH wird über Cross-Chain-Bridges in Bitcoin konvertiert
  4. Zweite Runde des Mixings
  5. Bitcoin in Cold Wallets gespeichert
  6. Umwandlung in Tron (TRX)
  7. TRX in USDT (Stablecoin) konvertiert
  8. USDT an Over-the-Counter-Broker gesendet
  9. Endkonvertierung in Bargeld

Die identifizierten OTC-Broker operieren hauptsächlich in China, Russland und Kambodscha. Die kambodschanische Organisation Huione Group — deren Anteilseigner der Cousin von Premierminister Hun Manet ist — hat zwischen 2021 und 2025 mindestens 4 Milliarden Dollar an illegalen Erlösen verarbeitet, davon 37 Millionen direkt mit Lazarus verknüpft. FinCEN erklärte sie 2025 zu einem "Primary Money Laundering Concern".

Geschwindigkeit ist die effektivste Waffe: Bybits Gelder wurden in 11 Tagen vollständig gewaschen. Behörden veröffentlichen Wallet-Adressen innerhalb von Stunden, aber Gelder bewegen sich in Minuten.

Warum niemand es stoppen kann

Es gibt ein Paradoxon im Kern der internationalen Reaktion auf die nordkoreanische Bedrohung: Sanktionen funktionieren nicht bei jemandem, der bereits unter Totalsanktionen steht.

"Offensichtlich haben die traditionellen Werkzeuge, die wir hatten, nicht funktioniert. Es ist sehr schwer zu stoppen, weil es eine Asymmetrie gibt: Sie sind so abgeschnitten von der Welt und ein solch krimineller Staat." — Matt Pearl, Center for Strategic and International Studies, NBC News, Dezember 2025

Der geopolitische Kontext verschlimmert die Situation. Im Jahr 2024 hat Russland das Veto eingelegt gegen die Erneuerung des Mandats des UN-Sicherheitsrat-Expertengremiums, das nordkoreanische Aktivitäten überwachte. Das MSMT ist eine informelle Reaktion von 11 Ländern — ohne Zwangsbefugnisse. Die internationale Aufsicht hat sich genau dann geschwächt, als die Diebstähle zunahmen.

Auf technischer Seite bringt DeFi systemische Schwachstellen mit sich: Kelp DAO, am 18. April 2026 für 292 Millionen Dollar in 46 Minuten angegriffen, verwendete eine Einzelverifier-Konfiguration für ihre Cross-Chain-Bridges. LayerZero hatte das Risiko dokumentiert. Kelp hatte keinen Multi-Verifier implementiert.

Raketen, bezahlt mit dem Bitcoin anderer

Der MSMT-Bericht vom Oktober 2025 ist eindeutig: Gestohlene Gelder werden zur Finanzierung von "Forschung und Entwicklung von Atomwaffen" und für "Militärkäufe zur Umgehung der internationalen Sanktionen im Zusammenhang mit dem Nuklearprogramm" verwendet.

CrowdStrike schrieb in seiner Analyse von Golden Chollima vom Januar 2026, dass Nordkorea "zusätzliche Einnahmen benötigt, um ehrgeizige Militärpläne zu finanzieren, darunter den Bau neuer Zerstörer, den Bau atomgetriebener U-Boote und den Start zusätzlicher Aufklärungssatelliten."

Eine Interkontinentalrakete wie die Hwasong-17 — in den letzten Jahren wiederholt getestet — kostet zwischen 30 und 50 Millionen Dollar pro Abschuss. Kim Jong Un hat zwischen 2022 und 2025 über hundert davon abgefeuert.

Wer Gelder bei einem Krypto-Hack verloren hat, wusste nicht, dass er das finanzierte. Aber genau das ist passiert.

Fazit: Kims Zentralbank

Wirtschaftslehrbücher lehren, dass ein Staat ohne Zugang zu internationalen Kapitalmärkten sich nicht finanzieren kann. Nordkorea hat eine praktische Ausnahme zu dieser Regel gefunden.

Wo Zentralbanken Schulden ausgeben, um Kapital zu beschaffen, gibt das Reconnaissance General Bureau Hacker aus. Das Ergebnis — Zugang zu Milliarden von Dollar jährlich — ist funktional identisch. Aber es gibt keine Anleihegläubiger zu überzeugen, keine Zinssätze zu verwalten, keine Kreditvereinbarungen zu erfüllen.

Das Krypto-System, das sich als demokratische Alternative zur traditionellen Finanzwelt anbot, ist teilweise zum Finanzierungsmechanismus eines autoritären Regimes mit Atomsprengköpfen geworden.

Die Daten sind da. Es fehlte nur jemand, der sie alle zusammen liest.

Wie sind es 7 Milliarden geworden? Jedes Mal, wenn eine Börse, ein DeFi-Protokoll oder ein Technologieunternehmen eine Sicherheitswarnung ignoriert.

Primärquellen

  • FBI PSA250226 — Bybit-Hack-Zuschreibung (ic3.gov, 26. Februar 2025)
  • Chainalysis — 2026 Crypto Crime Report (chainalysis.com/blog)
  • MSMT Report — Nordkorea Cyber-Diebstahl (msmt.info, Oktober 2025)
  • DOJ Pressemitteilung — IT Workers bundesweite Razzia (30. Juni 2025)
  • TRM Labs — The Bybit Hack: Following North Korea's Largest Exploit
  • Elliptic — North Korea Linked Hackers Stolen Over $2 Billion in 2025
  • FinCEN — Huione Group Primary Money Laundering Concern (2025)
  • OFAC SDN — Lazarus Group / Amnokgang Technology (März 2026)
  • CrowdStrike — 2026 Global Threat Report (Januar 2026)