Mit Nordkorea verbundene Hacker waren 2025 für beispiellose Kryptowährungsdiebstürme verantwortlich, wobei Blockchain-Analysefirmen berichteten, dass Akteure, die mit dem Regime verbunden sind, im Laufe des Jahres schätzungsweise mehr als 2 Milliarden Dollar an Krypto-Assets gestohlen haben. Diese Aktivitäten stellten die größte jährliche Beute Nordkoreas im Kryptowährungssektor dar und setzten ein längerfristiges Muster staatlich verbundenen Cyberdiebstahls fort, der zur Einnahmegenerierung diente.
Analysen mehrerer Blockchain-Geheimdienstorganisationen zeigten, dass nordkoreanische Cyberakteure sich auf eine Mischung aus großen Börsenverletzungen und anderen hochwertigen Kompromittierungen konzentrierten. Eines der bedeutendsten dieser Ereignisse war ein großer Exploit der Kryptowährungsbörse Bybit im Februar 2025, bei dem Angreifer die Kontrolle über private Schlüssel erlangten und kurz nach der Ausführung große Mengen digitaler Vermögenswerte zurückzogen. Dieser einzelne Diebstahl im Wert von etwa 1,5 Milliarden Dollar war einer der größten jemals verzeichneten Einzel-Kryptowährungsraubüberfälle und machte einen großen Anteil am bekannten gestohlenen Wert des Jahres aus.
Forscher dokumentierten außerdem, dass Nordkoreas Anteil am globalen Kryptowährungsdiebstahl im Vergleich zu anderen Bedrohungsakteuren erheblich war. Im Jahr 2025 wurden laut Schätzungen aus Branchenberichten bis zu 60–76 % des Gesamtwertes aus zentralisierten Dienstleistungen Akteuren zugeschrieben, die mit der Demokratischen Volksrepublik Korea (DVRK) verbunden sind. Dieses Muster zeigte sowohl die strategische Zielerfassung zentralisierter Börsen als auch das Ausmaß, in dem diese Operationen im Vergleich zu anderen böswilligen Gruppen durchgeführt wurden.
Der breitere Kontext dieser Aktivitäten zeigt sowohl eine Veränderung der Taktik als auch des Umfangs. Elliptic, ein Blockchain-Geheimdienstunternehmen, berichtete, dass Nordkoreas Cyber-Betreiber im Jahr 2025 mehr als 30 separate Hacks gegen Börsen und andere Kryptowährungsdienste durchgeführt haben, womit ihre kumulierte Gesamtzahl gestohlener Krypto seit 2017 auf weit über 6 Milliarden Dollar steigt. Diese Diebstähle im Jahr 2025 sollen durch eine Kombination aus technischer Kompromittierung der Exchange-Infrastruktur und Social Engineering gegen Dienstadministratoren und privilegierte Nutzer verursacht werden.
Ein Teil der operativen Strategie bestand darin, große Verwahrungs- und Handelsplattformen anzuvisieren, bei denen ein einziger Kompromiss privilegierten Zugangs zu äußerst hohen Verlusten führen kann. Indem sie zentralisierte Dienste mit erheblichen Reserven anstrebten, konnten die Angreifer die finanziellen Auswirkungen jedes Vorfalls maximieren. Analysten stellten fest, dass dieser Fokus auf konzentrierte Kryptoreserven zu dem überproportional großen Anteil der Verluste im Jahr 2025 im Zusammenhang mit Nordkorea beitrug.
Neben größeren Plattformverletzungen gab es auch Berichte über kleinere, aber bemerkenswerte Vorfälle, die DPRK-nahen Hackern zugeschrieben wurden. So berichteten Branchenbeobachter und südkoreanische Behörden von Ermittlungen zu Diebsfällen von Kryptowährungen in Höhe von mehreren zehn Millionen Dollar von Diensten wie Upbit, bei denen Ende 2025 private Schlüsselkompromittierungen oder abnormale Abhebungen auftraten, wobei die Strafverfolgungsbehörden Taktiken und Infrastruktur nannten, die mit nordkoreanahen Gruppen übereinstimmen.
Branchendaten legen nahe, dass 2025 nicht nur ein Rekordjahr für nordkoreanische Krypto-Diebstahl in absoluten Maßstäben war, sondern auch eine Periode, in der die verwendeten Methoden systematischer wurden und einen industrialisierten Ansatz zur Einnahmegenerierung durch eine Kombination aus hochwertigen Sicherheitsverletzungen, Social Engineering und ausgeklügelter Geldwäsche gestohlener Vermögenswerte widerspiegeln. Blockchain-Analysten stellten fest, dass gestohlene Gelder oft über komplexe Misch- und Überbrückungsdienste geflossen sind, gefolgt von On- und Offline-Umwandlung, was zeigt, wie sich nordkoreanische Krypto-Diebstahlsoperationen sowohl technisch als auch operativ entwickelt haben.
Die finanziellen Folgen dieser Diebstähle gehen über die unmittelbaren Verluste hinaus. Die Erlöse aus Blockchain-Diebstählen werden mit Bemühungen der nordkoreanischen Regierung in Verbindung gebracht, internationale Sanktionen zu umgehen und staatliche Prioritäten zu subventionieren. Unabhängige Analysen und Überwachungen von Finanzgeheimdienstfirmen haben Muster von Geldwäsche und Cross-Chain-Transfers identifiziert, die mit bekannten Einnahmequellen der DVRK-Cyberkriminalität übereinstimmen und die umfassenderen geopolitischen Folgen der Bedrohung unterstreichen.
Zusammengenommen zeigen die Daten von 2025, dass nordkoreanische Cyberakteure ihre Position als dominierende Kraft im Bereich des Kryptowährungsdiebstahls festigten. Ihre Aktivitäten trugen einen großen Teil der rund 3,4 Milliarden US-Dollar an insgesamt gestohlenen Krypto-Vermögenswerten bei, wobei der mit der DVRK verbundene Anteil im Jahr den anderer staatlich verbundener oder krimineller Gruppen deutlich überstieg.
Die fortlaufende Weiterentwicklung dieser Aktivitäten unterstreicht die Herausforderungen, denen Börsenbetreiber, Verwahrer und Einzelinhaber beim Schutz digitaler Vermögenswerte gegenüberstehen. Mit zunehmender technischer und wirtschaftlicher Komplexität der Angreifer bleiben die Cybersicherheit von Krypto-Plattformen sowie der Schutz privater Schlüssel und administrativer Zugriffe zentrale Anliegen für die Branche.