Finanzministerium zerschlägt $800M Nordkorea-IT-Betrugsring

Die OFAC-Sanktionen gegen nordkoreanische IT-Arbeiter wurden am Donnerstag verhängt, als das US-Finanzministerium sechs Personen und zwei Organisationen benannte, die an einem von Pjöngjang gesteuerten Schema beteiligt waren, das im vergangenen Jahr fast $800 Millionen einbrachte — und die Erlöse direkt in die Atom- und Raketenprogramme des Regimes leitete. Finanzminister Scott Bessent brachte es auf den Punkt: Das nordkoreanische Regime hat gefälschte Bewerbungen in eine Waffen-Finanzierungsmaschine verwandelt, und Washington ist es leid, nur zuzusehen.

Was sind die OFAC-Sanktionen gegen nordkoreanische IT-Arbeiter?

Das Office of Foreign Assets Control des Finanzministeriums benannte sechs Personen und zwei Organisationen im Rahmen eines umfassenderen Vorgehens gegen Nordkoreas Einnahmequellen im Ausland, wie aus einer offiziellen Erklärung hervorgeht. Die Betrüger setzen auf ein bewährtes Vorgehen — gestohlene Identitäten, gefälschte Lebensläufe und gefälschte Referenzen —, um Remote-Jobs bei US-amerikanischen und verbündeten Unternehmen zu ergattern. Einmal eingeschleust, zeigen die OFAC-Sanktionen gegen nordkoreanische IT-Arbeiter, warum: Das Regime leitet den Großteil der erzielten Löhne um, um verbotene Waffenentwicklung zu finanzieren — in direktem Verstoß gegen amerikanisches Recht und Resolutionen der Vereinten Nationen.

„Das nordkoreanische Regime nimmt amerikanische Unternehmen durch betrügerische Machenschaften ins Visier, die von seinen IT-Mitarbeitern im Ausland durchgeführt werden. Diese missbrauchen sensible Daten und erpressen Unternehmen um erhebliche Zahlungen", sagte Bessent in einer Erklärung. „Unter der Führung von Präsident Trump wird das Finanzministerium weiterhin dem Geld folgen, um US-Unternehmen vor diesen bösartigen Aktivitäten zu schützen und sicherzustellen, dass die Verantwortlichen zur Rechenschaft gezogen werden."

Das nordkoreanische Regime nimmt amerikanische Unternehmen durch betrügerische Machenschaften ins Visier, die von seinen IT-Mitarbeitern im Ausland durchgeführt werden. Diese missbrauchen sensible Daten und erpressen Unternehmen um erhebliche Zahlungen.

Wer wurde sanktioniert — und wo sie operierten

Die sanktionierten Personen operierten in Vietnam, Laos und Spanien. Ein vietnamesischer Geschäftsmann soll zwischen 2023 und 2025 rund $2,5 Millionen im Auftrag nordkoreanischer Agenten in Kryptowährung umgewandelt haben — nach DPRK-Maßstäben eine vergleichsweise bescheidene Summe, aber ein Paradebeispiel dafür, wie das Regime Geld über Grenzen hinweg bewegt. Zwei weitere Personen wurden sanktioniert, weil sie einem bereits auf der schwarzen Liste stehenden nordkoreanischen Nuklearbeschaffungs-Vermittler beim Waschen von Geldern und Eröffnen ausländischer Bankkonten halfen. Ein nordkoreanischer Staatsangehöriger wurde gesondert ins Visier genommen, weil er eine Gruppe von IT-Arbeitern mit Sitz in Boten, Laos, leitete.

Über den Lohnbetrug hinaus gingen einige eingeschleuste Arbeiter noch weiter — sie pflanzten Malware in Unternehmensnetzwerke ein, um geschützte Daten zu stehlen. Sämtliche US-Vermögenswerte der neu sanktionierten Parteien sind nun eingefroren, und amerikanische Personen dürfen keine Geschäfte mit ihnen machen. Ausländische Finanzinstitute, die wissentlich Transaktionen in deren Auftrag abwickeln, sind sekundären Sanktionen ausgesetzt, warnte das Finanzministerium.

Bedroht Nordkoreas Krypto-Diebstahl die Branche weiterhin?

Wie viel hat Nordkorea an Krypto gestohlen?

Der IT-Arbeiter-Betrug existiert nicht im luftleeren Raum. Er gehört zu einer der aggressivsten staatlich gesteuerten Hacking-Kampagnen im Bereich digitaler Vermögenswerte — und die Zahlen sind atemberaubend. Laut Chainalysis überstiegen die nordkoreanischen Krypto-Diebstähle 2025 die Marke von $2 Milliarden über mehrere Angriffe hinweg, wobei der größte Coup der Bybit-Einbruch war.

Das FBI ordnete diesen Angriff nordkoreanischen Staatsakteuern zu — die Bybit-Hack-Operation Nordkoreas erbeutete fast $1,5 Milliarden in einem einzigen Schlag und war damit der größte Krypto-Diebstahl aller Zeiten. Das ist keine Kriminalitätswelle. Das ist ein Haushaltsposten eines Staates.

Gleichzeitig entwickeln sich die Hacking-Kampagnen weiter. BTC Prague-Mitgründer Martin Kuchař enthüllte am Donnerstag, dass Angreifer ein kompromittiertes Telegram-Konto und einen inszenierten Videoanruf nutzten, um Malware zu verbreiten, die als Zoom-Audio-Fix getarnt war — Teil einer „hochrangigen Hacking-Kampagne", die gezielt auf Bitcoin- und Krypto-Nutzer abzielte. Nordkoreanische Agenten setzen außerdem zunehmend auf KI-generierte Deepfakes in Live-Videoanrufen, um Entwickler zur Installation bösartiger Software zu verleiten.

Was das jetzt für Krypto-Unternehmen bedeutet

Nennen wir es beim Namen: Nordkorea hat eine diversifizierte Finanzoperation aufgebaut, die betrügerische Beschäftigung, Krypto-Geldwäsche und direkte Börsen-Hacks kombiniert. Allein das IT-Arbeiter-Schema brachte in einem einzigen Jahr fast $800 Millionen ein. Rechnet man die Bybit-artigen Raubzüge hinzu, blickt man auf ein Regime, das seine Waffenprogramme fast vollständig durch Diebstahl und Betrug mit digitalen Vermögenswerten finanziert.

Für Krypto-Unternehmen — insbesondere solche, die Remote-Entwickler einstellen — ist die Bedrohung unmittelbar und persönlich. Die Anweisung des Finanzministeriums ist eindeutig: Überprüfen Sie, wen Sie einstellen, achten Sie auf Erpressungsversuche nach dem Onboarding und gehen Sie davon aus, dass jede ungewöhnliche Zugriffsanfrage eines Remote-Auftragnehmers ein nordkoreanischer Agent sein könnte, der die Sicherheitsgrenzen testet.