Nordkoreas Cyber-Armee erreicht eine neue Dimension digitaler Bedrohung: Mit der innovativen EtherHiding-Technik nutzen staatliche Hacker die Blockchain selbst als Waffe. Google Threat Intelligence identifizierte die Gruppe UNC5342, die seit Februar 2025 Malware in Smart Contracts einbettet – ein Angriff, der traditionelle Abwehrmechanismen unterläuft und bereits Milliardenschäden verursacht hat. Die Blockchain, eigentlich Symbol für Transparenz und Sicherheit, wird zum perfekten Versteck für digitale Einbrecher.
EtherHiding: Wie Nordkorea die Blockchain als Waffe nutzt
Die von Guardio Labs erstmals 2023 beschriebene EtherHiding-Technik hat einen staatlichen Akteur gefunden: Nordkoreas Hacker nutzen die Unveränderlichkeit der Blockchain, um Schadcode dauerhaft und unangreifbar zu speichern. Das Perfide: Die bösartigen Payloads werden in Smart Contracts auf öffentlichen Blockchains wie Ethereum und Binance Smart Chain eingebettet.
Der Clou liegt in der Nutzung von Read-Only-Aufrufen. Diese hinterlassen keine sichtbaren Spuren in Blockchain-Analysetools und bleiben daher meist unentdeckt. Gleichzeitig macht die Unveränderlichkeit der Smart Contracts es unmöglich, den Code zu entfernen – selbst wenn die Bedrohung erkannt wird.
Der digitale Raubzug des Regimes
Die Zahlen sind atemberaubend: Laut Analysen von Elliptic haben nordkoreanische Hacker allein in den ersten neun Monaten des Jahres 2025 Kryptowerte im Umfang von über 2 Milliarden US-Dollar gestohlen – der größte je verzeichnete Jahreswert. Insgesamt beläuft sich die Beute des Regimes auf mehr als 6 Milliarden US-Dollar.
Die Contagious-Interview-Kampagne: Soziale Manipulation als Türöffner
Die Angriffe beginnen oft harmlos: Unter dem Deckmantel von Personalvermittlern kontaktieren die Hacker potenzielle Opfer auf LinkedIn. Besonders im Visier: Krypto-Entwickler und Blockchain-Experten. Nach der Kontaktaufnahme verlagert sich die Kommunikation auf Telegram oder Discord, wo die Opfer unter dem Vorwand eines Bewerbungsgesprächs zur Ausführung von Schadcode verleitet werden.
Die Angreifer nutzen dafür eigens kreierte Scheinfirmen wie BlockNovas LLC, Angeloper Agency und SoftGlideLLC – professionell wirkende Fassaden, die selbst erfahrene Tech-Profis täuschen können.
Bemerkenswert ist die technische Raffinesse: Der initiale JavaScript-Downloader JADESNOW kommuniziert mit der Blockchain, um den eigentlichen Backdoor INVISIBLEFERRET nachzuladen – ein vollwertiges Spionagewerkzeug, das langfristigen Zugriff und Datendiebstahl ermöglicht.
Der ByBit-Hack: Ein Meilenstein der Cyberkriminalität
Der spektakulärste Coup gelang am 21. Februar 2025: Nordkoreanische Hacker erbeuteten beim Angriff auf die Kryptobörse ByBit 1,5 Milliarden US-Dollar in Ethereum – der größte Kryptowährungsdiebstahl der Geschichte. Das FBI bestätigte die Verantwortung Nordkoreas für diesen Angriff, den die Behörde unter dem Codenamen „TraderTraitor“ führt.
Innerhalb der ersten 48 Stunden nach dem Diebstahl wurden bereits 160 Millionen US-Dollar gewaschen – ein Indiz für die ausgefeilten Geldwäsche-Netzwerke des Regimes.
Die Blockchain als perfektes Versteck
Was EtherHiding besonders gefährlich macht: Die Technik nutzt mehrere Blockchains parallel. UNC5342 wechselt fließend zwischen Ethereum und BNB Smart Chain, was die Analyse erschwert und niedrigere Transaktionsgebühren ausnutzt. Ein einziger Smart Contract wurde innerhalb von vier Monaten über 20 Mal aktualisiert – jedes Update kostete durchschnittlich nur 1,37 US-Dollar an Gas-Gebühren.
Die Angriffe sind nicht nur technisch ausgeklügelt, sondern auch wirtschaftlich effizient. Während die Verteidiger mit komplexen Abwehrmaßnahmen kämpfen, investieren die Angreifer nur minimale Ressourcen für maximale Erträge.
Verteidigungsstrategien für die Krypto-Wirtschaft
Für die Krypto-Branche ergeben sich entscheidende Handlungsfelder: API-Provider müssen verdächtige Smart-Contract-Interaktionen identifizieren und blockieren. Google berichtet, dass einige Provider bereits kooperieren, andere jedoch nicht – eine gefährliche Lücke in der Abwehrkette.
Der Schutz beginnt bei Awareness: Besonders Talente aus der Krypto-Szene sollten bei Jobangeboten mit ungewöhnlich attraktiven Konditionen skeptisch sein und externe Verifizierung der Unternehmen vornehmen.
Die Cybersicherheits-Revolution
Die EtherHiding-Attacken markieren einen Wendepunkt in der Cybersicherheit. Nicht mehr nur zentrale Systeme sind gefährdet, sondern die dezentrale Infrastruktur selbst wird zur Waffe. Diese Entwicklung erfordert ein Umdenken in Sicherheitsstrategien.
Die Stärken der Blockchain – Unveränderlichkeit und Dezentralität – werden geschickt gegen das Ökosystem gewendet. Gleichzeitig zeigt sich: Die Transparenz der Blockchain ermöglicht es Sicherheitsforschern, Angriffsmuster zu erkennen und zu dokumentieren.
tomshardware.com – North Korean state-sponsored hackers slip unremovable malware inside blockchains to steal cryptocurrency
cloud.google.com – DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains
elliptic.co – North Korea’s crypto hackers have stolen over $2 billion in 2025
csis.org – The ByBit Heist and the Future of U.S. Crypto Regulation
