Am 30. Juni 2025 haben das US-Justizministerium (DOJ) und das FBI bedeutende Fortschritte im Kampf gegen nordkoreanische Cyberkriminalität verkündet. In einer umfassenden Operation wurden Festnahmen und Anklagen im Zusammenhang mit einem internationalen Netzwerk nordkoreanischer IT-Arbeiter bekannt gegeben, das über 100 US-Unternehmen infiltriert hatte, um Geld und sensible Informationen zu stehlen. Diese Arbeiter nutzten dazu kompromittierte Identitäten von mehr als 80 US-Bürgern.
Die Maßnahmen im Rahmen dieser Operation resultierten in erheblichen rechtlichen Gebühren und Kosten, die sich auf über 3 Millionen US-Dollar belaufen. Unter den gestohlenen Vermögenswerten befindet sich auch eine Summe von mindestens 900.000 US-Dollar in Kryptowährungen, die von einem Unternehmen in Georgia entwendet wurden. Zudem wurde Datenmaterial und Quellcode, einschließlich vertraulicher Informationen im Rahmen der International Traffic in Arms Regulations (ITAR), von einem kalifornischen Rüstungsunternehmen gestohlen.
Festnahmen und Anklagen im Detail
Die Operation umfasste nicht nur eine Festnahme, sondern auch zwei formelle Anklagen und Durchsuchungen an über zwei Dutzend US-Standorten. Bei diesen Durchsuchungen wurden zahlreiche Laptops, Finanzkonten und Webseiten sichergestellt. Zhenxing „Danny“ Wang und Kejia Wang, beide US-Bürger, sind die Hauptangeklagten; während Zhenxing Wang in New Jersey festgenommen wurde, befindet sich Kejia Wang auf freiem Fuß. Beide Männer sollen mit vier anderen US-Vermittlern kooperiert haben, um Laptops zu beschaffen und gefälschte Firmen zu gründen, wofür sie fast 700.000 US-Dollar erhielten.
Diese Maßnahmen sind Teil einer größeren Strategie der US-Behörden, die darauf abzielt, ein globales Netzwerk von IT-Arbeitern zu zerschlagen, das von Nordkorea betrieben wird. Laut IT Boltwise wurden in diesem Zusammenhang Kryptowährungen im Wert von über 7,74 Millionen US-Dollar beschlagnahmt. Diese digitalen Währungen wurden mutmaßlich zur Umgehung von Sanktionen und zur Finanzierung von nordkoreanischen Waffenprogrammen eingesetzt.
Ein Netzwerk aus Cyberkriminellen
Der Hintergrund der Operation reicht bis ins Jahr 2017 zurück, als Nordkorea begann, IT-Arbeiter unter falschen Identitäten in die USA einzuschleusen. Diese Arbeiter verwendeten gestohlene oder fiktive Identitäten, um Zugang zu sensiblen Informationen und finanziellen Mitteln zu erhalten. Ein Schlüsselaspekt dieser Netzwerke ist die Fähigkeit, KI-Tools wie OpenAI ChatGPT zur Umgehung von Sicherheitsüberprüfungen zu nutzen.
Besonders fiel Sim Hyon-Sop, ein Vertreter der nordkoreanischen Foreign Trade Bank, auf, der beschuldigt wird, illegal erworbene Gelder gewaschen zu haben. Zwischen August 2021 und März 2023 erhielt er über 24 Millionen US-Dollar in Kryptowährungen, die für die Aktivitäten des Netzwerks verwendet wurden.
Die nordkoreanischen IT-Arbeiter werden in zwei Kategorien unterteilt: Revenue IT Workers (R-ITW), die auf Einnahmesicherung abzielen, und Malicious IT Workers (M-ITW), die gezielt Unternehmen schädigen. Um die Aktivitäten dieser Gruppen effektiv zu bekämpfen, sind neue Ansätze notwendig, die über traditionelle Sicherheitsindikatoren hinausgehen. Experten warnen zudem vor der potenziellen Nutzung von Blockchain- und Web3-Technologien durch nordkoreanische Cyber-Akteure zur Erweiterung ihrer kriminellen Aktivitäten.
