OFAC-Sanktionen gegen nordkoreanische Krypto-Netzwerke: Wie Nordkorea Milliarden durch Hackerangriffe stiehlt

Im Jahr 2025 haben die Vereinigten Staaten ihre Sanktionen gegen Nordkoreas Krypto-Netzwerke drastisch verschärft. Seit Januar wurden über 2,1 Milliarden Dollar an Kryptowährung von nordkoreanischen Hackergruppen gestohlen - ein Rekord, der zeigt, wie systematisch und professionell diese Operationen mittlerweile laufen. Die US-Finanzaufsicht OFAC hat daraufhin mehr als ein Dutzend Unternehmen, Personen und Geldwäsche-Knotenpunkte weltweit sanktioniert. Es geht nicht mehr nur um einzelne Hacks. Es geht um einen organisierten Krieg gegen die globale Krypto-Infrastruktur - und Amerika versucht, ihn zu stoppen.

Wie Nordkorea Krypto stiehlt: Die Masche mit den IT-Arbeitern

Nordkorea nutzt keine klassischen Hackerangriffe mehr, um Kryptowährungen zu stehlen. Stattdessen schickt es Tausende IT-Spezialisten in US-Unternehmen - besonders in Web3-Startups und Krypto-Plattformen. Diese Leute arbeiten als Remote-Mitarbeiter, oft mit gefälschten Identitäten wie „Joshua Palmer“ oder „Alex Hong“. Sie haben GitHub-Profile, LinkedIn-Seiten, sogar Medium-Artikel, die alle perfekt aussehen. Sie schreiben Code, beantworten Support-Tickets, entwickeln Smart Contracts. Und während sie das tun, sammeln sie Daten, erkunden Schwachstellen und warten auf den richtigen Moment.

Diese Gruppen, die von Sicherheitsforschern als Famous Chollima, UNC5267 oder Wagemole bezeichnet werden, arbeiten direkt für die nordkoreanische Regierung. Sie sind keine freiberuflichen Hacker. Sie sind Teil eines staatlichen Programms, das seit 2021 über eine Million Dollar pro Jahr generiert hat. Die meisten dieser Arbeiter sitzen in Büros in China, Russland oder Laos - Orte, wo die Kontrolle über digitale Aktivitäten schwach ist. Von dort aus greifen sie Unternehmen an, die sie vorgeblich unterstützen.

Die Geldwäsche-Kette: Von ETH bis Bargeld in Moskau

Der Diebstahl ist nur der erste Schritt. Der schwierigere Teil: das Geld verschwinden zu lassen. Die gestohlenen Kryptowährungen - meist USDC, ETH oder NFTs - werden über mehrere Wallets weitergeleitet. Jede Transaktion wird fragmentiert, um die Spur zu verwischen. Dann kommen die zentralen Börsen ins Spiel. Dort werden die Coins in Fiat umgewandelt, meist in US-Dollar.

Aber hier kommt der entscheidende Trick: Die Gelder werden nicht auf Bankkonten eingezahlt. Stattdessen nutzen die Täter sogenannte Over-the-Counter (OTC)-Händler. Diese sind oft in Russland oder den Vereinigten Arabischen Emiraten ansässig. Einige davon wurden bereits von OFAC sanktioniert - im Dezember 2024. Trotzdem funktionieren sie weiter. Ein einzelner nordkoreanischer Agent, Kim Ung Sun, hat allein im ersten Halbjahr 2025 fast 600.000 Dollar in bar übergeben - Bargeld, das dann in Nordkorea eingeschmuggelt wird, um Waffen zu kaufen.

Die US-Justiz hat bereits über 7,7 Millionen Dollar an digitalen Vermögenswerten beschlagnahmt. Dazu gehörten NFTs mit einem Marktwert von mehr als 1,2 Millionen Dollar - ein NFT, das angeblich von einem berühmten Künstler stammte, war in Wirklichkeit nur eine gefälschte Datei, die von einem nordkoreanischen Team erstellt wurde.

Die Sanktionen: Wer ist betroffen?

Im August 2025 hat OFAC eine neue Welle von Sanktionen verhängt. Unter den Betroffenen: ein russischer Staatsbürger namens Vitaliy Sergeyevich Andreyev, der als Finanzvermittler zwischen nordkoreanischen Hackern und OTC-Händlern fungierte. Auch zwei chinesische Firmen - Shenyang Geumpungri Network Technology Co., Ltd und Korea Sinjin Trading Corporation - wurden auf die Liste gesetzt. Beide haben angeblich gefälschte Arbeitsverträge für nordkoreanische IT-Spezialisten ausgestellt.

Weitere sanktionierte Unternehmen sind Korea Sobaeksu Trading Company und ihre Führungskräfte Kim Se Un, Jo Kyong Hun und Myong Chol Min. Diese Gruppe war für die Umgehung von Sanktionen verantwortlich, indem sie Waren und Dienstleistungen über Drittländer nach Nordkorea schmuggelte. Die Liste der betroffenen Personen wächst monatlich. Seit Mai 2023 wurden insgesamt 18 Unternehmen und 34 Einzelpersonen wegen Beteiligung an nordkoreanischen Krypto-Schemata sanktioniert.

Die Sanktionen sind nicht nur symbolisch. Sie blockieren alle Vermögenswerte, die diese Personen in US-amerikanischen Banken oder mit US-Dollar-Transaktionen halten. Jeder, der mit ihnen handelt - sei es ein Krypto-Exchange, ein Wallet-Provider oder ein Freelancer-Portal - riskiert, selbst sanktioniert zu werden.

Warum funktioniert das so gut?

Weil die Krypto-Welt noch immer zu offen ist. Viele Web3-Unternehmen arbeiten mit Remote-Mitarbeitern aus aller Welt. Sie prüfen kaum die Herkunft, nur die Fähigkeiten. Ein gefälschter GitHub-Profile mit 500 commits und einem professionellen Portfolio reicht oft aus, um einen Job zu bekommen. Die Hacker nutzen das aus. Sie nutzen dieselben Identitäten über Jahre hinweg - manchmal für mehr als zehn verschiedene Unternehmen gleichzeitig.

Und weil Kryptowährungen pseudonym sind, lässt sich kaum nachvollziehen, wer wirklich hinter einer Wallet steht. Selbst wenn eine Adresse als verdächtig markiert ist, kann sie weiterhin genutzt werden - solange sie nicht direkt mit einer Bank oder einer regulierten Börse verbunden ist. Das ist der Schlupfwinkel, den Nordkorea ausnutzt.

Die globale Reaktion: Wer hilft den USA?

Die USA arbeiten nicht allein. Seit August 2025 haben Japan und Südkorea gemeinsame Erklärungen veröffentlicht, in denen sie die Bedrohung durch nordkoreanische IT-Spione anerkennen. Die FBI und Homeland Security Investigations koordinieren sich mit europäischen Behörden, um verdächtige Wallet-Adressen zu verfolgen. TRM Labs, eine Blockchain-Analyse-Firma, hat mehr als 1.200 verdächtige Adressen identifiziert, die mit nordkoreanischen Netzwerken in Verbindung stehen.

Einige Länder, wie die Vereinigten Arabischen Emirate und Singapur, haben ihre Krypto-Regulierungen verschärft, um OTC-Händler besser zu kontrollieren. Andere, wie Russland und Laos, blockieren weiterhin jede internationale Untersuchung. Das macht die Ermittlungen extrem schwierig. Aber die USA haben eine neue Strategie entwickelt: Sie verfolgen nicht nur die Hacker, sondern auch die Helfer - diejenigen, die die Identitäten fälschen, die Server bereitstellen, die Gelder waschen.

Was bedeutet das für Krypto-Unternehmen?

Wenn Sie ein Krypto-Startup sind, das Remote-Mitarbeiter einstellt: Sie sind jetzt ein Ziel. OFAC verlangt von allen US-Unternehmen, dass sie ihre Mitarbeiter und Partner auf die Sanktionslisten prüfen - nicht nur direkt, sondern auch indirekt. Das bedeutet: Wenn Sie einen Freelancer über Upwork engagieren, der von einer Firma aus Shenyang empfohlen wurde, die wiederum mit Korea Sinjin Trading verbunden ist - dann sind Sie in Gefahr.

Die meisten kleinen Unternehmen wissen das nicht. Sie vertrauen auf die Plattformen. Aber OFAC sagt klar: Verantwortung liegt bei Ihnen. Wenn Sie Geld an eine sanktionierte Person überweisen - selbst unwissentlich - riskieren Sie Geldstrafen von bis zu 10 Millionen Dollar pro Verstoß.

Es gibt Lösungen: Blockchain-Analysetools wie TRM Labs, Chainalysis oder Elliptic bieten jetzt spezielle Screening-Tools für IT-Arbeiter. Sie prüfen nicht nur die Wallet-Adresse, sondern auch die digitale Fußspur - GitHub-Profile, Freelancer-Konten, E-Mail-Domänen. Wer das nicht nutzt, spielt mit Feuer.

Was kommt als Nächstes?

Die nächste Welle von Sanktionen wird im Dezember 2025 erwartet. US-Behörden haben bereits angekündigt, dass sie weitere OTC-Händler in Nigeria, Thailand und Kasachstan sanktionieren werden. Auch chinesische Cloud-Anbieter, die Server für nordkoreanische Hacker bereitstellen, stehen auf der Liste. Die USA wollen nicht nur die Hacker stoppen - sie wollen das ganze Netzwerk zerschlagen.

Das ist kein Krieg gegen Kryptowährungen. Das ist ein Krieg gegen die Anonymität. Und Nordkorea hat einen Fehler gemacht: Es hat vertraut, dass niemand die Spuren verfolgen kann. Aber jetzt wissen wir, wie es funktioniert. Und wir wissen, wer dahintersteckt.