Lazarus-Hacker stehlen 2025 Rekordsumme von zwei Milliarden Euro

Nordkoreas Cyber-Armee hat 2025 mit gezielten Mega-Hacks einen Rekordwert von zwei Milliarden Euro in Kryptowährungen erbeutet. Die gestohlenen Gelder fließen laut Geheimdiensten direkt in das Atomwaffenprogramm des Regimes.

Die Zahlen, die in den vergangenen Tagen von der Blockchain-Analysefirma Chainalysis veröffentlicht wurden, zeigen eine alarmierende Entwicklung: Obwohl die Zahl der Hacks um 74 Prozent sank, stieg der Schaden pro Angriff massiv. Die zwei Milliarden Euro in diesem Jahr übertrafen die 1,3 Milliarden Euro aus 2024 bei weitem. Verantwortlich sind bekannte Gruppen wie Lazarus und TraderTraitor. Sie haben ihre Strategie geändert – weg von vielen kleinen Angriffen auf DeFi-Protokolle, hin zu gezielten Großangriffen auf zentrale Börsen mit hohen Liquiditätsreserven.

Den Löwenanteil des Jahresraubs macht ein einziger, katastrophaler Angriff aus: der Diebstahl von 1,5 Milliarden Euro bei Bybit im Februar 2025. Dieser Vorfall übertrifft alle bisher bekannten Krypto-Hacks an Umfang. Forensische Analysen beschreiben die Angriffsmethode als „meisterhaft komplex“. Die Täter nutzten eine Serie von Swaps und Cross-Chain-Transaktionen, um die digitale Spur zu verwischen. Die US-Bundespolizei FBI hatte den Angriff kurz nach dem Vorfall Nordkorea zugeschrieben.

Doch auch regional starke Player sind nicht sicher. Im November 2025 erbeutete die Lazarus-Gruppe nochmals etwa 36 Millionen Euro von Südkoreas größter Börse, Upbit. Ein klares Signal: Die Bedrohung ist allgegenwärtig und höchst professionell.

Passend zum Thema gezielte Hackerangriffe und Insider‑Gefahren: Viele Unternehmen sind auf komplexe Social‑Engineering‑Methoden und Wallet‑Diebstahl nicht vorbereitet – mit teils existenzgefährdenden Folgen. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsvektoren, welche organisatorischen Maßnahmen sofort wirken (Awareness‑Trainings, Zugangskontrollen, Monitoring) und wie Sie Compliance‑Lücken ohne riesiges Budget schließen. Praxisnahe Checklisten helfen Verantwortlichen, Schwachstellen schnell zu finden und zu beheben. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Die Trojaner-Strategie: Gefälschte IT-Mitarbeiter als Einfallstor

Ein Schlüssel zum Erfolg der Hacker im Jahr 2025 ist eine raffinierte Social-Engineering-Methode: der getarnte „Insider“. Statt nur von außen anzugreifen, schleusen nordkoreanische Operative sich in Krypto- und Web3-Firmen ein – indem sie sich als remote arbeitende IT-Spezialisten ausgeben.

Mit gestohlenen Identitäten, KI-generierten Profilbildern und Stimmverzerrung bei Vorstellungsgesprächen sichern sie sich Stellen in Zielunternehmen. Einmal im System, missbrauchen sie ihre Zugriffsrechte, um externen Hackergruppen den Zugang zu privaten Schlüsseln oder kritischer Infrastruktur zu ermöglichen.

Amazon berichtete diesen Monat, über 1.800 solcher gefälschten nordkoreanischen IT-Bewerbungen blockiert zu haben. Das zeigt das enorme Ausmaß dieses betrügerischen Netzwerks. „Diese Operativen bauen von innen ihre Privilegien aus, bevor sie auf einen Schlag große Summen abziehen“, analysierte die südkoreanische Zeitung The Korea Herald.

Geopolitische Brisanz: Krypto-Gelder finanzieren das Atomprogramm

Die geopolitischen Folgen dieser Diebstähle sind gravierend. Nachrichtendienste schätzen, dass Cyberkriminalität inzwischen einen erheblichen Teil der Deviseneinnahmen Nordkoreas generiert.

„Der Diebstahl von Kryptowährungen ist zu einer zentralen Einnahmequelle für das nordkoreanische Regime geworden“, sagte Andrew Fierman von Chainalysis. „Die Gelder fließen in Programme für Massenvernichtungswaffen und Raketenentwicklung.“

Die Fähigkeit, jährlich zwei Milliarden Euro zu stehlen – das entspricht etwa sieben Prozent des geschätzten Bruttonationaleinkommens des Landes – verschafft dem Kim-Regime eine sanktionssichere Finanzierungsquelle. Diese Pipeline untergräbt internationale Bemühungen, Nordkoreas nukleare Ambitionen durch traditionelle Wirtschaftssanktionen einzudämmen.

Ausblick 2026: Das Wettrüsten geht weiter

Für das kommende Jahr prognostizieren Experten ein weiteres „Wettrüsten“ zwischen Sicherheitsfirmen und staatlich unterstützten Hackern. Der Erfolg der Trojaner-Strategie zwingt Unternehmen dazu, ihre Einstellungs- und Überprüfungsprozesse grundlegend zu überdenken. Standard-Hintergrundchecks reichen nicht mehr aus; biometrische Verifizierung und Verhaltensanalysen werden nötig.

Auch die Geldwäsche der Beute bleibt eine Herausforderung. Zwar konnten Ermittler durch die Transparenz der Blockchain bisher etwa 30 Millionen Euro aus früheren Hacks einfrieren. Angesichts von zwei Milliarden Euro Verlust in einem einzigen Jahr ist das jedoch nur ein Tropfen auf den heißen Stein.

Unternehmen der Digital-Asset-Branche müssen sich auf schärfere Compliance-Vorgaben einstellen. Regulierungsbehörden in der EU, den USA und Asien werden voraussichtlich in den kommenden Quartalen strengere Standards für das Management von Insider-Bedrohungen und Wallet-Sicherheit durchsetzen.

Übrigens: Wenn gefälschte IT‑Accounts und gezielte Phishing‑Kampagnen Ihre Branche bedrohen, gibt es sofort umsetzbare Schutzmaßnahmen. Das kostenlose E‑Book zeigt in klaren vier Schritten, wie Sie Phishing, CEO‑Fraud und Insider‑Manipulation erkennen, Mitarbeiter sensibilisieren und technische Hürden für Angreifer erhöhen – speziell zugeschnitten auf Unternehmen der Digital‑Asset‑Branche. Praxistaugliche Vorlagen und Checklisten ermöglichen schnelle Verbesserungen. Gratis Cyber‑Security‑Report anfordern