Bericht: China- und Nordkorea-nahe Gruppen dominieren Angriffe auf Finanzsektor im asiatisch-pazifischen Raum

In seinem aktuellen Bericht zur Bedrohungslage für Finanzdienstleister 2026 schreibt CrowdStrike, dass Gruppen mit Verbindungen zu China und Nordkorea einen großen Teil der relevanten Angriffe auf den Sektor ausmachen. Sechs der neun großen Bedrohungsgruppen, die im ersten Quartal 2026 Finanzunternehmen attackierten, ordnet das Unternehmen diesen beiden Staaten zu. Für Asien-Pazifik und Ozeanien zählte CrowdStrike außerdem mindestens 78 Organisationen, die Ziel von Datenleck- und Ransom-Operationen krimineller Gruppen wurden.

Chainalysis verweist darauf, dass Cyberkriminalität in der Region auch deshalb so bedeutsam bleibt, weil Finanzbetrug und digitaler Diebstahl für manche Staaten zu wichtigen Einnahmequellen geworden seien. Das Unternehmen schätzt, dass nordkoreanischen Akteuren im Jahr 2025 mindestens 2,02 Milliarden US-Dollar an Kryptowerten zuflossen. Das entspreche einem Anteil von 6 bis 7 Prozent des auf 29 Milliarden US-Dollar geschätzten Bruttoinlandsprodukts des Landes.

Zugleich betont Chainalysis, dass diese Zahlen nur eine Untergrenze darstellen. Forschungschef Eric Jardine erklärte, die Schätzungen basierten auf Aktivitäten, die sich zuordnen ließen. Dass Nordkorea 2025 mit deutlich weniger bekannten Angriffen ein Rekordjahr erreicht habe, deute darauf hin, „dass wir womöglich nur den sichtbarsten Teil dieser Aktivitäten sehen“.

Als wichtigster Angriffsvektor krimineller Gruppen gilt laut Bericht weiterhin Social Engineering. Besonders verbreitet sei die Kombination aus Liebesbetrug und Anlagebetrug, bekannt als „Pig Butchering“. Nordkoreanische Gruppen setzten jedoch häufig auf geschäftsbezogene Täuschung, etwa indem sie sich als IT-Fachkräfte ausgeben. Nach Beobachtung von Chainalysis kommen inzwischen weitere Methoden hinzu.

Jardine sagte, nordkoreanische Akteure gäben sich zunehmend als Recruiter bekannter Web3- und KI-Firmen aus und führten fingierte Einstellungsverfahren durch, um Zugangsdaten, Quellcode sowie VPN- oder Single-Sign-on-Zugänge zu stehlen. Außerdem habe Chainalysis Kontaktaufnahmen von angeblichen Investoren oder Kaufinteressenten beobachtet, die darauf abzielten, Zugangswege in hochwertige Infrastrukturen zu identifizieren.

Diese Taktiken zielten insgesamt darauf ab, frühere Erfolge zu wiederholen. Als größtes Beispiel nennt der Text den Diebstahl von 1,5 Milliarden US-Dollar in Kryptowerten von der Börse ByBit. Gleichzeitig stieg die Zahl der Diebstähle aus einzelnen Wallets auf 158.000 Vorfälle, während die insgesamt entwendete Summe zurückging.

Auch die Unterstützungsdienste für Cyberkriminelle wachsen laut Chainalysis weiter. Geldwäscheangebote, die Mittel aus Finanzbetrug und Cyberkriminalität mit legitimen Geldern vermischen, erschwerten Ermittlungen. In den vergangenen Jahren habe sich dieses Ökosystem weiterentwickelt. Nordkoreanische Akteure bewegten größere Summen als andere Täter, stützten sich beim Geldtransfer aber auf chinesischsprachige Netzwerke. Häufig warteten sie 45 Tage, bevor sie gestohlene Gelder wuschen, wobei Jardine dies ausdrücklich als Muster und nicht als feste Regel bezeichnete.

Regionalregierungen und Fintech-Unternehmen seien inzwischen besser darin geworden, solche Erlöse zu verfolgen. Chainalysis verwies auf größere Rückgewinne im Zusammenhang mit jüngsten großen Diebstählen. Im April ging die gemeinsame US-Behördengruppe Scam Center Strike Force gegen den Cybercrime-Komplex Shunda in Burma (Myanmar) vor. Dabei wurden zwei chinesische Staatsangehörige angeklagt, die den Komplex mutmaßlich betrieben haben sollen; zudem wurden Konten mit 700 Millionen US-Dollar in Kryptowerten gesperrt und mehr als 500 mit dem Betrug verbundene Websites abgeschaltet.

Zusätzlich legte das Office of Foreign Assets Control des US-Finanzministeriums 700 Millionen US-Dollar in Kryptowerten still, die mit den Betrugsnetzwerken verbunden waren, und belegte einen kambodschanischen Senator sowie 28 weitere Personen aus seinem Netzwerk mit Sanktionen. Nach Darstellung des Textes bedeutet eine solche Stilllegung, dass per Gerichtsbeschluss die Bewegung von Geldern verhindert wird, die mit Straftaten in Verbindung stehen.

Jardine sieht deshalb Fortschritte bei der Bekämpfung solcher Gruppen. Die Fähigkeit, ihre Aktivitäten zu identifizieren und zu stören, verbessere sich weiter. Am wirksamsten sei die Kombination aus Blockchain-Analyse, Austausch von Erkenntnissen, öffentlich-privater Zusammenarbeit, abgestimmtem Vorgehen der Strafverfolgung und schneller Reaktion, sobald gestohlene Gelder in Bewegung geraten.