Australien verhängt Sanktionen gegen nordkoreanische Hacker wegen Kryptodiebstahls im Wert von 1,9 Milliarden US-Dollar

Australien hat umfassende finanzielle Sanktionen und Reiseverbote gegen vier nordkoreanische Hackergruppen und eine Einzelperson verhängt und sie beschuldigt, einen massiven Diebstahl von 1,9 Milliarden US-Dollar an Kryptowährungen im Jahr 2024 organisiert zu haben, um die Massenvernichtungswaffen (MVW) und ballistischen Raketenprogramme des Regimes zu finanzieren. Diese koordinierte Aktion mit den Vereinigten Staaten, die am 6. November 2025 von der australischen Außenministerin Penny Wong angekündigt wurde, zielt auf die illegalen Einnahmequellen Nordkoreas ab, einschließlich Cyberkriminalität, betrügerischer IT-Operationen und Spionageaktivitäten, die internationale Sanktionen umgehen. Die Maßnahmen sollen die globalen Netzwerke von Operativen und Unterstützern Pyongyangs stören und das Regime unter Druck setzen, seine verbotenen Programme auf vollständige, verifizierbare und irreversible Weise abzubauen, in Übereinstimmung mit den Resolutionen des UN-Sicherheitsrates.

Detaillierter Hintergrund zu den Sanktionen

Die Sanktionen basieren auf wachsenden Beweisen für nordkoreanische staatlich geförderte Cyberoperationen, wie in einem kürzlichen Bericht des Multilateralen Sanktionsüberwachungsteams (MSMT) dargelegt, das aus 11 westlichen Nationen besteht, darunter Australien, die Vereinigten Staaten, Japan, Südkorea und andere. Dieses Team überwacht die Einhaltung von UN-Sanktionen und hat hervorgehoben, wie nordkoreanische Akteure Schwachstellen im globalen Finanzsystem ausgenutzt haben, insbesondere im Kryptowährungssektor, um Einnahmen für militärische Fortschritte zu generieren. Außenministerin Wong betonte, dass diese Aktivitäten nicht nur Waffensprogramme finanzieren, sondern auch erhebliche Bedrohungen für die regionale und internationale Sicherheit darstellen, einschließlich Versuchen, in demokratische Prozesse einzugreifen.

Die australische Regierung hat die folgenden Einheiten gemäß dem Charter of the United Nations Act 1945 designiert, wodurch alle in Australien gehaltenen Vermögenswerte eingefroren werden und australischen Bürgern oder Einheiten verboten ist, Finanzdienstleistungen zu erbringen oder mit ihnen zu handeln:

• Lazarus Group: Eine produktive Hackergruppe, die unter dem Reconnaissance General Bureau (RGB) Nordkoreas operiert, der primären militärischen Nachrichtendienst der Country. Lazarus ist seit über 15 Jahren aktiv und berüchtigt für hochkarätige Angriffe wie den Hack auf Sony Pictures Entertainment 2014, der sensible Daten aufdeckte und Operationen störte, sowie den WannaCry-Ransomware-Angriff 2017, der Hunderttausende Computer weltweit betraf, einschließlich Krankenhäuser und Unternehmen. Im Kontext von Kryptowährungen wird Lazarus mit raffinierten Diebstählen in Verbindung gebracht, die Malware-Einsatz und Social-Engineering-Taktiken zur Infiltration von Börsen und Wallets umfassen.
• Kimsuky (auch bekannt als Thallium): Eine auf Spionage fokussierte Gruppe, die südkoreanische Regierungsbehörden, Think Tanks und Außenpolitik-Experten ins Visier nimmt, um Informationen zu nuklearen und militärischen Angelegenheiten zu sammeln. Die Operationen von Kimsuky beinhalten oft Spear-Phishing und Malware, um sensible Dokumente zu stehlen, wobei kürzliche Aktivitäten auf internationale Gesundheitssysteme und Nuklearanlagen ausgedehnt wurden.
• Andariel (Advanced Persistent Threat 45): Eine Untergruppe von Lazarus, die sich auf Cyberespionage gegen Verteidigungs-, Luftfahrt-, Nuklear- und Ingenieurwesen-Sektoren weltweit spezialisiert hat. Andariel hat gezielte Angriffe durchgeführt, um technologische Entwicklungen auszuspionieren, und benötigt benutzerdefinierte Malware, um Daten aus Organisationen in Südkorea, den USA und Europa zu exfiltrieren.
• Chosun Expo: Ein nordkoreanisches Regierungsfrontunternehmen, das als Tarnung für Cyberoperationen dient und Programmierer und IT-Arbeiter einsetzt, um Hacks durchzuführen und Gelder zu waschen. Es dient als Hub für die Koordination von RGB-geleiteten Aktivitäten, einschließlich der Rekrutierung von Operativen im Ausland.

Zusätzlich zielen die Sanktionen auf Park Jin-hyok ab, einen nordkoreanischen Computerprogrammierer, der mit Chosun Expo und der Lazarus Group in Verbindung steht. Park wurde in mehreren großen Vorfällen impliziert, einschließlich des Sony-Pictures-Bruchs, WannaCry und dem Raubüberfall auf die Bangladesh Bank 2016, bei dem 81 Millionen US-Dollar vom Konto der Federal Reserve Bank of New York gestohlen wurden. Zuvor von den USA im Jahr 2018 und Südkorea sanktioniert, wird angenommen, dass Park sich weiterhin in Nordkorea aufhält und internationaler Festnahme entgeht. Diese Designierungen bauen auf vorherigen internationalen Aktionen auf und gewährleisten eine einheitliche Front gegen die Cyberbedrohungen Nordkoreas.

Umfang und Methoden der Krypto-Diebstähle

Nordkoreanische Hacker, hauptsächlich durch das RGB, führten im Jahr 2024 eine Reihe dreister Kryptowährungsraube durch und horteten mindestens 1,9 Milliarden US-Dollar (etwa 2,9 Milliarden australische Dollar oder 1,8 Billionen südkoreanische Won) von globalen Unternehmen und Börsen. Diese Zahl stellt einen Anstieg um 50% im Vergleich zu den 1,34 Milliarden US-Dollar, die 2023 gestohlen wurden, dar und unterstreicht die zunehmende Raffinesse dieser Operationen. Der MSMT-Bericht detailliert, wie diese Akteure fortschrittliche Malware wie Remote-Access-Trojans und Keylogger einsetzten, ergänzt durch Social-Engineering-Tricks wie gefälschte Stellenangebote auf Plattformen wie LinkedIn, um Entwickler dazu zu bringen, infizierte Dateien herunterzuladen.

Das Waschen erfolgte über ein umfangreiches internationales Netzwerk mit nordkoreanischen Staatsangehörigen, die als IT-Arbeiter in Ländern wie China, Russland und Laos posierten und VPNs, Scheinfirmen und Drittanbieter-Facilitatoren nutzten, um Transaktionen zu verschleiern. Zum Beispiel wurden Gelder durch designierte Banken wie First Credit Bank und Ryojung Credit Bank geleitet, die Ransomware-Erlöse und Einnahmen von IT-Arbeitern abwickelten. Die gestohlene Kryptowährung – oft in Bitcoin, Ethereum und anderen Assets – wurde in Fiat-Währung umgewandelt oder genutzt, um dual-use-Materialien zu beschaffen, wie Kupfer für Raketenkomponenten und Elektronik für MVW-Programme. Von Januar bis September 2025 hatten Diebstähle bereits 1,645 Milliarden US-Dollar überschritten, wobei Hacker DeFi-Plattformen, NFT-Marktplätze und sogar AI-gestützte Tools zur Umgehung ins Visier nahmen. Diese Aktivitäten stärken nicht nur die von Sanktionen belastete nordkoreanische Wirtschaft, sondern ermöglichen es dem Regime auch, Exportkontrollen für sanktionierte Güter zu umgehen.

Breitere internationale Koordination und verwandte US-Aktionen

Die Sanktionen Australiens sind Teil eines synchronisierten internationalen Drucks, der eng mit den Bemühungen der USA abgestimmt ist, die am 4. November 2025 vom Amt für Auslandsvermögenskontrolle (OFAC) des Finanzministeriums angekündigt wurden. Die USA zielten auf acht Personen ab, einschließlich nordkoreanischer Banker wie Jang Kuk Chol und Ho Jong Son, die über 5,3 Millionen US-Dollar an gewaschenen Kryptowährungen im Zusammenhang mit Ransomware verwalteten, sowie auf Einheiten wie die Korea Mangyongdae Computer Technology Company (KMCTC), die IT-Arbeiter aus chinesischen Städten wie Shenyang und Dandong einsetzt, um illegale Einnahmen zu generieren. OFAC hob hervor, wie diese Netzwerke insgesamt bis zu 3 Milliarden US-Dollar wuschen und betonte eine “Geld-nachverfolgen”-Strategie, um Facilitatoren in China und Russland zu zerschlagen.

Staatssekretär für Terrorismus und Finanzintelligence John K. Hurley erklärte, dass diese Operationen die globale Sicherheit direkt bedrohen, indem sie nukleare Fortschritte finanzieren, wobei die USA Vermögenswerte einfrieren und Transaktionen mit designierten Parteien verbieten. Ergänzende Aktionen umfassen die Beschlagnahmung von 7,7 Millionen US-Dollar an Kryptowährungen durch das US-Justizministerium von nordkoreanischen IT-Arbeitern, die gestohlene amerikanische Identitäten für Remote-Jobs nutzten. Der MSMT-Bericht von Oktober 2025 deckte weitere Umgehungstaktiken auf, wie gefälschte US-registrierte Unternehmen, die Malware in der Krypto-Industrie verbreiten. Gemeinsam verbessern diese Maßnahmen die Kryptowährungs-Konformität und fordern Börsen auf, strengere Know-Your-Customer (KYC)-Protokolle und Transaktionsüberwachung umzusetzen, ohne Innovationen zu behindern.

Implikationen und Ausblick

Diese Sanktionen signalisieren ein robustes multilaterales Engagement, um der cybergestützten Proliferationsfinanzierung Nordkoreas entgegenzuwirken, und könnten zukünftige Hacks abschrecken, indem sie die Betriebskosten und Risiken für RGB-Akteure erhöhen. Ministerin Wong wies auf die Bedeutung hin, den sozialen Zusammenhalt in Australien aufrechtzuerhalten, um ausländischer Einmischung zu widerstehen, und verknüpfte Cyberbedrohungen mit breiteren geopolitischen Risiken in der indo-pazifischen Region.

Experten warnen jedoch, dass die Anpassungsfähigkeit Nordkoreas – belegt durch seinen Wechsel zu AI-gestützten Angriffen und tiefere Integration mit kriminellen Syndikaten – anhaltende Wachsamkeit und verstärkte öffentlich-private Partnerschaften in der Cybersicherheit erfordert. Die Aktionen unterstreichen auch die Schwachstellen im 2,5 Billionen US-Dollar schweren Kryptomarkt und fordern eine globale Harmonisierung der Regulierungen, um staatlich gesponserte Diebstähle zu schützen. Angesichts anhaltender Spannungen erkunden Australien und seine Verbündeten weiterhin Wege für zusätzlichen Druck, einschließlich diplomatischer Outreach und Geheimdienst-Sharing, um Stabilität und Denuklearisierung auf der koreanischen Halbinsel zu fördern.