Nordkorea finanziert sein Atomprogramm durch Cyberangriffe und Krypto-Diebstähle. Internationale Sanktionen haben das Land isoliert, wodurch Krypto-Diebstähle zu einer wichtigen Einnahmequelle wurden. Allein in den letzten Jahren wurden Milliardenbeträge erbeutet.
Einem vertraulichen UN-Bericht zufolge hat Nordkorea in den letzten sieben Jahren (2017-2024) schätzungsweise 3,6 Milliarden US-Dollar durch Cyberattacken auf Kryptofirmen erbeutet. Allein im Jahr 2022 belief sich die Summe der gestohlenen Kryptowährungen auf etwa 1,7 Milliarden US-Dollar. Im Jahr 2023 stahlen nordkoreanische Hacker Kryptowährungen im Wert von rund einer Milliarde US-Dollar.
Zwischen Januar 2024 und September 2025 sollen nordkoreanische Hacker Kryptowährungen im Wert von 2,83 Milliarden Dollar gestohlen haben. Davon entfallen 1,64 Milliarden Dollar auf die ersten neun Monate des Jahres 2025, was einem Anstieg von 50 % gegenüber dem Vorjahr entspricht. Im ersten Halbjahr 2025 wurden Kryptowährungen im Wert von 2,17 Milliarden US-Dollar gestohlen, hauptsächlich durch nordkoreanische Hacks.
Nordkoreanische Hacker greifen Krypto-Börsen und -Dienste an, oft unter Nutzung ausgefeilter Ransomware-Angriffe. Dabei dringen die Angreifer in die Systeme ein, übernehmen die Kontrolle und sperren die Opfer aus, um Lösegeld zu erpressen. Sie setzen Phishing, Code-Exploits, Malware und Social Engineering ein, um Gelder aus mit dem Internet verbundenen „Hot Wallets“ zu entwenden.
Gestohlene Gelder werden in der Regel durch komplexe Geldwäschemethoden verschoben, um die Herkunft zu verschleiern. Dabei werden oft Krypto-Mixer wie Tornado Cash und Wasabi Wallet verwendet.
Die Hacker tauschen gestohlene Vermögenswerte auf dezentralen Börsen gegen Ethereum (ETH) und wandeln dieses dann über Brückenplattformen in Bitcoin (BTC) um. Dieses wird erneut gemischt und dann in Cold Wallets gespeichert, bevor es gegen Tron (TRX) gehandelt und in USDT umgewandelt wird. Der letzte Schritt beinhaltet das Senden von USDT an OTC-Broker, die es gegen Bargeld eintauschen.
Die Cyberangriffe werden oft der staatlichen Hackergruppe Lazarus und ihren Untergruppen zugeschrieben. Nordkorea rekrutiert bereits im Alter von etwa zwölf Jahren Schüler mit besonderen Fähigkeiten in Mathematik und bildet sie an Universitäten in Pjöngjang aus. Die besten Absolventen werden vom Geheimdienst rekrutiert und im „Büro 121“ angestellt.
Bei der Geldwäsche helfen Broker und Unternehmen in China, Russland und Kambodscha.
Die USA verhängten 2022 Sanktionen gegen Tornado Cash, da die Plattform zur Geldwäsche von über einer Milliarde US-Dollar verwendet wurde. Ein Zusammenschluss von elf Ländern (MSMT) wurde im Oktober 2024 gegründet, um zu verfolgen, wie Nordkorea internationale Sanktionen durch Cyberkriminalität umgeht.
