Der anonyme Blockchain-Forscher ZachXBT hat durchgesickerte interne Daten von nordkoreanischen IT-Spezialisten untersucht und ein Kryptowährungswäsche-System aufgedeckt, das monatlich Kryptowährungen im Wert von etwa 1 Million Dollar abzweigt.
Laut ZachXBT sind 390 Nutzer an dem Betrug beteiligt. Die Gelder werden über Kryptowährungs-Wallets transferiert und anschließend in Fiatgeld umgetauscht. Seit Ende 2025 flossen Kryptowährungen im Wert von über 3,5 Millionen US-Dollar über nachverfolgbare Adressen, die mit diesem Netzwerk in Verbindung stehen.
Im Zentrum des Systems steht eine interne Plattform, die als Geldtransferdrehscheibe dient. Laut einem anonymen Krypto-Ermittler melden Mitarbeiter hier ihre Einnahmen, tauschen Geschichten über erfolgreiche Diebstähle aus und erhalten Anweisungen. Er vermutet, dass die Drehscheibe zwei Funktionen erfüllt: Sie dient als Nachrichten- und Zahlungskoordinierungsstelle.
Laut ZachXBT stammen gestohlene Kryptowährungen typischerweise von Börsen oder Serviceplattformen und werden anschließend auf gefälschte Wallets transferiert. In einigen Fällen werden die Kryptowährungen über Zwischenhändler, darunter chinesische Bankkonten und Zahlungssysteme, in Fiatgeld umgetauscht.
Ein spezielles Verwaltungskonto ist für die Bestätigung von Überweisungen und die Verteilung von Zugangsdaten für weitere Geldtransfers zuständig. Einzelne Wallets in diesem System führten den Blockchain-Forscher zu Adressen, die zuvor mit nordkoreanischen Hackergruppen in Verbindung gebracht wurden. Mindestens eine Wallet wurde von Tether, dem Emittenten des Stablecoins USDT, eingefroren.
Die Nachrichten der Nutzer enthalten koreanische Namen, nordkoreanische Ortsangaben und verschlüsselte Gruppenkennungen, wie ZachXBT berichtet. In den Nachrichten werden drei nordkoreanische Organisationen erwähnt, die unter US-Sanktionen stehen: Sobaeksu, Saenal und Songkwang. Ihnen wird vorgeworfen, für die nordkoreanische Regierung zu arbeiten.
ZachXBT entdeckte, dass die Teilnehmer des Betrugs gefälschte Identitäten erstellten und nutzten, um Fernarbeit zu erhalten. Dazu analysierte er Browserverläufe, Chatnachrichten und interne Mitteilungen. Die Teilnehmer koordinierten ihre Antworten auf Stellenanzeigen mithilfe gefälschter Zugangsdaten und Deepfakes und tauschten die Informationen anschließend untereinander aus.
Das Netzwerk dient nicht nur der Geldwäsche von Kryptowährungen, sondern auch als Schulungsplattform für Betrüger. Es verbreitet Schulungsmaterialien zur Malware-Entwicklung und -Fehlerbehebung, schrieb ZachXBT.
Gleichzeitig ist die Größe des Netzwerks laut dem Blockchain-Experten nicht mit der fortgeschrittenerer, mit Nordkorea verbundener Gruppen vergleichbar. Dennoch agiere es koordiniert und proaktiv und verarbeite regelmäßig große Mengen digitaler Vermögenswerte, so der Kryptoforscher. Als Beleg für die „Unprofessionalität“ des Netzwerks führte ZachXBT folgendes Argument an: Einige Teilnehmer hätten die Kontosicherheit nicht ausreichend gewährleistet – zehn Konten auf der Hub-Plattform verwendeten das Standardpasswort „1234“.
Der MetaMask-Sicherheitsforscher Taylor Monahan erklärte zuvor, dass nordkoreanische Spezialisten seit mindestens sieben Jahren Krypto-Unternehmen und Projekte im Bereich der dezentralen Finanzen (DeFi) infiltrieren, viele mit dem Ziel, die Plattformen zu hacken.