Die Ausbeutung im Zusammenhang mit Kryptowährungen, die seit Anfang Januar 2026 stattfindet, hat meine Aufmerksamkeit auf eine Entität gelenkt, deren Name immer wieder genannt wird: Lazarus Group.
Dieser Name wurde mir in den Ohren bekannt durch den Vorfall mit dem Bybit-Exploit. Bis heute hat diese Entität die Aufmerksamkeit von On-Chain-Detektiven auf sich gezogen, darunter Specter und auch ZachXBT. Das veranlasst mich zusätzlich, meinen Fokus noch stärker auf diese Entität zu richten. In diesem Artikel werde ich einige meiner Nachforschungen zur Lazarus Group teilen, die möglicherweise unvollständig sind und bei denen möglicherweise auch einige Fehler vorhanden sind, die korrigiert werden müssen.
Was ist diese Lazarus Group eigentlich? Lassen wir uns das genauer ansehen

Historische Wurzeln (Bevor es „Lazarus“ gab)
Der Aufbau der Cyberkapazitäten Nordkoreas ist viel älter als der Name „Lazarus“ selbst. Der Direktor von NK Intellectuals Solidarity, Heung Kwan Kim, erklärte, dass Nordkorea von der Cyberwar-Unit Chinas inspiriert war und von ihnen gelernt hat. Im Bewusstsein ihrer Stärke gründete Nordkorea 1993 die erste Unit in der zentralen Verwaltung.
Eine andere Version nennt eine leicht abweichende Gründungsphase: die Entstehung von Bureau 121 lässt sich bis in das späte 1990er-Jahre zurückverfolgen, als Nordkorea begann, das Potenzial der Informationstechnologie als Mittel für nationale Verteidigung und Offensive zu erkennen. Das Regime erkannte, dass Cyberoperationen eine asymmetrische Kriegsstrategie gegen technisch überlegene Gegner sein könnten – insbesondere gegen ihre Hauptgegner, Südkorea und die Vereinigten Staaten.
Eine weitere Studie (Hunt & Hackett) nennt ein spezifischeres Gründungsjahr: Die frühesten Anzeichen für Lazarus lassen sich bis auf 2007 zurückverfolgen, als Nordkorea unter der Herrschaft von Kim Jong Il, dem Vater des heutigen Führers Kim Jong Un, stand. Lazarus gilt als gegründet als Einheit für Cyberwarfare unter dem Reconnaissance General Bureau (RGB), der wichtigsten Geheimdienstagentur Nordkoreas. In dieser Zeit wird die Entwicklung von Cyberkapazitäten als wesentlich für die asymmetrische Kriegsstrategie des Regimes angesehen.
Wichtige ideologische Zitate von Kim Jong Il, die erklären, warum das Regime stark in Cyberwarfare investiert: Kim Jong Il soll diese Vorgehensweise sehr unterstützt haben und erklärt haben: „Cyberangriffe sind wie Atombomben“ und „Der Krieg wird von dem gewonnen oder verloren, der im Frieden mehr Zugang zu den technischen Militärinformationen des Gegners hat.“ Obwohl unklar, ist es möglich, dass sie auch hinter dem Angriff von 2007 stecken, der auf Südkorea abzielte.

Erste dokumentierte Operation (Operation Troy)
Der erste bekannte und dieser Gruppe zugeschriebene Angriff heißt „Operation Troy“ und dauerte von 2009 bis 2012. Eine Cyber-Espionage-Kampagne, die DDoS-Techniken nutzt, die weniger raffiniert sind, um die südkoreanische Regierung in Seoul ins Visier zu nehmen.
Der erste große Hacking-Vorfall der Lazarus Group ereignete sich am 4. Juli 2009 und löste den Anfang von „Operation Troy“ aus. Dieser Angriff nutzt die Malware Mydoom und Dozer, um groß angelegte, aber nicht allzu ausgefeilte DDoS-Attacken gegen Websites in den USA und in Südkorea zu starten. Eine Kette von Angriffen trifft etwa drei Dutzend Websites und setzt den Text „Memory of the Independence Day“ in den Master Boot Record (MBR).
Die Entwicklung der Taktiken geht weiter: Der März-2011-Angriff, der als „Ten Days of Rain“ bezeichnet wird, richtet sich gegen Medien, das Finanzwesen und kritische Infrastruktur in Südkorea. Er besteht aus raffinierteren DDoS-Angriffen, die von kompromittierten Computern in Südkorea aus gestartet werden. Die Angriffe setzen sich am 20. März 2013 mit DarkSeoul fort: Dabei handelt es sich um einen Wiper-Angriff gegen drei südkoreanische Rundfunkunternehmen, Finanzinstitutionen und einen ISP.
Von der Espionage zur Finanzierung des Regimes
Ein strategischer Wendepunkt tritt nach dem Tod des alten Anführers ein. Die frühesten Operationen von Lazarus konzentrierten sich tendenziell auf Spionage und Störung, insbesondere auf Organisationen in den USA und in Südkorea. Nach dem Tod von Kim Jong Il im Jahr 2011 versucht Kim Jong Un, die Vision seines Vaters zu erweitern und die Cyberkapazitäten des Staates zu nutzen, um Einnahmen für das Regime zu generieren.
Befehlshierarchie. RGB, Bureau 121 und Lab 110
Das ist der komplexeste und am häufigsten missverstandene Teil, auch von den Medien. Hier die Aufschlüsselung der Struktur gemäß den glaubwürdigsten Quellen (Mandiant/Google Cloud):
Reconnaissance General Bureau (RGB), die Mutter aller Einheiten. Das RGB wurde 2009 gegründet und ist die nordkoreanische Geheimdienstagentur, die für Spionage, geheime Operationen und Cyber-Espionage verantwortlich ist. Das RGB besteht aus sechs verschiedenen Büros, wobei Bureau 3 (Foreign Intelligence) und Bureau 5 (Inter-Korean Affairs) den größten Anteil an den Operationen tragen.
Bureau 121 → Lab 110, die Evolution der Haupt-Unit. Laut Mandiant ist Lab 110 der Fokuspunkt für „Lazarus Group“ als Dachbegriff. TEMP.Hermit, APT38 und Andariel sind vermutlich unter Lab 110 angesiedelt. Lab 110 ist möglicherweise eine erweiterte und reorganisierte Version von „Bureau 121“, das häufig als wichtigste Hacking-Unit Nordkoreas bezeichnet wird.
Open-Source-Berichte verwenden häufig den Titel „Lazarus Group“ als Dachbegriff und beziehen sich damit auf viele nordkoreanische Cyber-Operatoren; Mandiant verfolgt diese jedoch separat. Obwohl TEMP.Hermit am häufigsten mit Lazarus Group gleichgesetzt wird, kombinieren Forschende und Open-Source-Quellen oft diese drei Akteursgruppen, manchmal sogar alle nordkoreanischen APTs, nur als „Lazarus Group“.
Der Name „Bureau 121“ soll aus einer Kombination von Unit-Nummer und einer allgemeinen Referenz auf eine zentrale militärische Leitlinie der nordkoreanischen Führung stammen, bekannt als „Songun“.
Ungeklärte Mehrdeutigkeit: Sogar die professionelle Forschungscommunity erkennt an, dass es in der Threat-Intelligence-Community, in der Wissenschaft und bei staatlichen Behörden kein allgemein anerkanntes Verständnis darüber gibt, wie eine klar definierte Hierarchie oder Organisationseinheiten für nordkoreanische Cyber-Units aussehen bzw. wie deren jeweilige APT-Benennung erfolgt. Andere akademische Quellen vermerken sogar eine umgekehrte Hierarchie-Version: ältere Quellen, etwa ein akademisches Kapitel eines südkoreanischen Forschers aus dem Jahr 2019, sehen Lab 110 vielmehr unter Bureau 121 – ein direkter Widerspruch zur Annahme von Mandiant, dass Lab 110 eine Weiterentwicklung von Bureau 121 ist.
Die operative Philosophie von Bureau 121 erklärt, warum Zuordnung (Attribution) stets schwierig ist. Das charakteristische Merkmal der operativen Struktur von Bureau 121 ist der Fokus auf Geheimhaltung und plausible Verneinbarkeit. Die Unit nutzt False-Flag-Taktiken und bedient sich Hacking-Gruppen, die so wirken, als seien sie unabhängig (z. B. Lazarus Group), um ihre Aktivitäten weiter zu verschleiern. So kann Nordkorea sich von seinen Cyberaktionen distanzieren, während es weiterhin von den verursachten Störungen profitiert.
Bureau 325 (neuere Unit)
Weitere relevante strukturelle Entwicklungen für den Kontext ab 2021+. Bureau 325 wurde im Januar 2021 öffentlich angekündigt und zeigt eine Zunahme von Verantwortlichkeiten, was darauf hindeutet, dass diese Gruppe schnell Vertrauen bei der oberen Führung der DVRK gewonnen hat und möglicherweise eine vorteilhafte Position einnimmt.
Gesamtumfang der nordkoreanischen Cyberkräfte
Abseits der spezifischen Lazarus-Gruppe ist die gesamte Cyber-Kapazität eines Staates deutlich größer: Expertinnen und Experten gehen davon aus, dass es zwischen 6.000 und 7.500 Mitglieder in der nordkoreanischen Cyberarmee gibt, aufgeteilt in mehrere Divisionen zur Durchführung von Cyberterrorismus gegen die Infrastruktur des Staates, Finanzinstitutionen und die jüngste Komponente, nämlich den Diebstahl von Verteidigungstechnologie. In dieser Hierarchie überwacht Unit 121 Unit 180, Unit 91 und Lab 110.
DETAILLIERTES PROFIL VON SUB-EINHEITEN

BlueNoroff / APT38 / Stardust Chollima / Sapphire Sleet
Fokus auf die wichtigsten Finanzmaschinen. Aktiv mindestens seit 2014 richtet sich APT38 gegen Banken, Finanzinstitutionen, Kasinos, Krypto-Börsen, SWIFT-System-Endpunkte und ATMs in mindestens 38 Ländern weltweit.
Bedeutende Operationen: der Bankraub der Bangladesh Bank 2016 über 81 Millionen $ sowie Angriffe auf Bancomext und Banco de Chile; ein Teil dieser Angriffe hatte destruktiven Charakter.
Schätzung der Personalstärke: etwa 1.700 Mitglieder
Zugehörige Sub-Units: „CryptoCore“ oder „Dangerous Password“, vermutlich eine Subgruppe der APT38, die ebenfalls auf finanzielle Aktivitäten fokussiert.
Einzigartige operative Merkmale aus Kasperskys Forschung von 2017: Kaspersky berichtet, dass Lazarus sich tendenziell auf Spionage und Infiltration konzentriert, während die Untergruppe, die sie Bluenoroff nennen, auf finanzielle Angriffe spezialisiert ist. Kaspersky fand zahlreiche Angriffe weltweit sowie direkte Verbindungen (IP-Adressen) zwischen Bluenoroff und Nordkorea.
Kaspersky erkennt außerdem an, dass Codewiederholungen eine „False Flag“ sein könnten, die darauf ausgelegt ist, Ermittler in die Irre zu führen und Angriffe Nordkorea zuzuschreiben – insbesondere weil der globale Wurm WannaCry Techniken von der NSA kopiert hat, ebenfalls.
Diese Ransomware nutzt den NSA-Exploit namens EternalBlue, der im April 2017 von der Hackergruppe Shadow Brokers offengelegt wurde. Dennoch berichtete Symantec im Jahr 2017, dass „sehr wahrscheinlich“ Lazarus hinter dem WannaCry-Angriff steckt.
Andariel / Onyx Sleet / Jumpy Pisces
Der Fokus liegt vor allem auf Spionageoperationen, die hauptsächlich die Verteidigung, die Regierung und die kritische Infrastruktur Südkoreas betreffen, mit zunehmenden Ransomware-Operationen gegen Organisationen im globalen Gesundheitswesen.
Schätzungen zur Personalstärke und zu konkreten Missionen: Laut einem Bericht von 2020 der US-Armee hat Andariel ungefähr 1.600 Mitglieder, die sich auf Reconnaissance, Schwachstellenbewertungen von Netzwerken und das Mapping von Netzwerken des Gegners für potenzielle Angriffe konzentrieren.
Komplette Ziele und Angriffsvorgehen: Neben Südkorea richteten sie sich auch gegen Regierungen, Infrastruktur und Unternehmen anderer Länder. Zu den Angriffsmustern zählen ActiveX, Schwachstellen in südkoreanischer Software, Watering-Hole-Angriffe, Spear-Phishing (Makros), Produkte für IT-Management (Antivirus, PMS) und die Lieferkette (Installer und Updater).
Malware-Signaturen: Aryan, Gh0st RAT, Rifdoor, Phandoor und Andarat.
TEMP.Hermit
Es wird angenommen, dass der Fokus auf dem Sammeln strategischer Informationen liegt; bekannt dafür, dass sie Organisationen in den Bereichen Regierung, Verteidigung, Telekommunikation und Finanzen ins Visier nehmen.
Offizielle Zuordnungsindikatoren (rechtlich/gesetzlich)
Im Februar 2021 wirft das US-Justizministerium drei Mitglieder des Reconnaissance General Bureau l (einer Geheimdienstagentur des nordkoreanischen Militärs) vor, an mehreren Lazarus-Hacking-Kampagnen beteiligt gewesen zu sein: Park Jin Hyok, Jon Chang Hyok und Kim Il Park. Jin Hyok war bereits zuvor im September 2018 angeklagt worden.
VOLLSTÄNDIGE CHRONOLOGISCHE TRACK RECORD
Phase I, reine Espionage (2009–2013)

Phase II, globale Expansion & destruktiv (2014–2016)
2014: Sony Pictures Entertainment. Antwort auf den Film „The Interview“, der die Ermordung von Kim Jong-un beschreibt; die Gruppe stiehlt und veröffentlicht geheime Daten, darunter auch Filme, die noch nicht veröffentlicht waren, Mitarbeiterinformationen und peinliche E-Mails von Führungskräften. Sie setzt destruktive Malware ein, die Daten von Tausenden von Computern löscht; außerdem macht die Gruppe Terrorandrohungen gegen Kinos, die den Film zeigen. Das FBI ordnete diese Angriffe offiziell Nordkorea zu – einer der ersten öffentlichen Vorfälle, bei denen ein großes Cyberereignis einem staatlichen Akteur zugeordnet wurde.
2016: Bangladeschs Zentralbank. Versuch, fast 1 Milliarde $ von der Zentralbank zu stehlen, über ein SWIFT-Bankennetzwerk (81 Millionen $ erfolgreich gestohlen).
Phase III, Pivot zu Krypto (2017–2021)
2017: Lazarus wird beschuldigt, die südkoreanische Krypto-Börse Bithumb angegriffen zu haben. Der Cyberdieb brachte fast 7 Millionen $ an digitalen Währungen mit und erhielt außerdem personenbezogene Informationen von Nutzern, die auf kompromittierten Servern gespeichert waren. BBC berichtete, dass Nordkorea anschließend in der Lage war, von den Besitzern zusätzliche Gelder zu erpressen, als Gegenleistung dafür, dass diese die Daten löschen.
2017: WannaCry infiziert mehr als 200.000 Computer in 150 Ländern und lahmlegt kritische Systeme, darunter das NHS in England.
2017: Youbit ging pleite, nachdem 17 % der Vermögenswerte gestohlen worden waren; NiceHash verlor 4.500+ BTC

Phase IV, das Zeitalter massiver DeFi (2022–2024)
März 2022: Ronin Network/Axie Infinity (620–625 Millionen $), vom FBI als Arbeit von Lazarus + APT38 bestätigt
Juni 2022: Harmony Horizon Bridge (100 Millionen $), vom FBI bestätigt
2023: Diversifizierung auf hohe Ziele, (300+ Millionen $) Gesamtschaden (17,6 % des Schadens dieses Jahres), einschließlich Atomic Wallet (100 Millionen $), Stake.com (41 Millionen $, vom FBI bestätigt), CoinEx, Alphapo, CoinsPaid (Kombination 308,6 Millionen $ Juni–September)
Mai 2024: DMM Bitcoin (308 Millionen $)
Phase V, Eskalation ins Extrem (2025–2026)

Februar 2025: Bybit (1,5 Milliarden $), größter Einzelschaden in der Geschichte laut FBI. Das Vorgehen: Schadcode wird in Wallet-Software eingespritzt, wodurch Betreiber getäuscht werden, damit sie Transaktionen an die Hacker-Adresse genehmigen.
12. März 2026: OFAC verhängt neue Sanktionen gegen ein IT-Worker-Netzwerk der DVRK
1. April 2026: Drift Protocol (285 Millionen $), danach KelpDAO/LayerZero am 18. April 2026 (292 Millionen $). Angreifer kompromittieren den RPC-Knoten, der von DVN (Decentralized Verifier Network) für LayerZero Labs genutzt wird, und plündern anschließend 116.500 rsETH von KelpDAO; die Auswirkungen weiten sich aus bis zu 13 Milliarden $ TVL, die innerhalb von 2 Tagen aus dem gesamten DeFi-Bereich verloren gehen
April 2026: Malware-Kampagne „Mach-O Man“, modularer macOS-Malware-Baukasten aus der Chollima-Division; Auslieferung über ClickFix-Techniken (Opfer werden aufgefordert, den Terminal-Befehl zu kopieren, um ein falsches Verbindungsproblem „zu beheben“); selbstlöschend nach der Ausführung
KUMULATIVE STATISTIK & SKALA
Die DVRK stahl 2025 2,02 Milliarden $ (plus 51 % YoY), kumuliert über die gesamte Zeit insgesamt 6,75 Milliarden $.
Im Jahr 2025 machten nordkoreanische Hacker 76 % aller Service-Kompromittierungen aus (Kompromittierung auf Service-/Protokollebene); ein bisheriger Höchstwert.
Chainalysis beziffert den kumulierten Diebstahl von Krypto-Fonds im Zusammenhang mit der DVRK auf 6,75 Milliarden $ zwischen 2019 und Ende 2025; angeführt wird das durch einen Rekordgewinn von 2,02 Milliarden $ im vergangenen Jahr.
Extrem breite geografische Reichweite: Opfer in Dutzenden Ländern von Albanien bis Sambia, fast über den gesamten Kontinent hinweg.
Das UN-Panel of Experts schätzt, dass die Gelder aus Kryptodiebstahl einen wesentlichen Anteil an den Entwicklungsprogrammen für ballistische Raketen und nukleare Waffen Nordkoreas finanzieren.

TECHNISCHER MODUS OPERANDI
Social Engineering & Fake Recruitment
Lazarus wird immer ausgefeilter und nutzt KI-basierendes Social Engineering. Akteure mit vollständigen falschen Identitäten (Resume, Portfolio und Interview-Fähigkeiten) sind in die Recruiting-Pipeline der Unternehmen eingedrungen.
Entwicklung des IT-Worker-Schemas
Ein evolvierendes Programm: von Operativen, die sich auf Remote-Jobs in Kryptounternehmen bewerben, hin zur Orchestrierung gefälschter Recruiting-Prozesse. Dabei treten sie als Recruiter bekannter Web3/AI-Unternehmen auf, um Zugangsdaten, Quellcode und VPN-Zugriffe abzugreifen.
Operationen über Landesgrenzen hinweg
Viele Operative arbeiten von Standorten außerhalb des Landes (vor allem China, aber auch Russland, Südostasien und Osteuropa), um auf besseres Internetinfrastruktur-Zugang zuzugreifen und die operative Sicherheit aufrechtzuerhalten.
Bildungssystem für Talent-Lieferanten
Kim-Il-Sung-Universität: die prestigeträchtigste Universität des Landes mit einem speziellen Programm für Informatik und Informationssicherheit.
Mirim College: bekannt dafür, Spezialisten für Computer Warfare auszubilden.
Korea-Automation-Center: führt weitergehende technische Trainings für Cyberwarfare-Personal durch.
Ausgewählte Schüler durchlaufen eine mehrjährige Ausbildung, bevor sie in einer operativen Einheit eingesetzt werden.
Geldwäsche nach dem Heist
Der Laundering-Ablauf folgt vier Phasen: Er beginnt mit schnellen Cross-Chain-Bewegungen innerhalb weniger Stunden, bei denen die Gelder von der Ursprungskette auf Ethereum gebridged werden, um Liquidität und größere Mixing-Optionen zu erhalten. Nach den Sanktionen gegen Tornado Cash und dem Urteil gegen Roman Storm war ihre Reaktion eine Anpassung, nicht ein Rückgang der Aktivität.
Fiat-Umwandlungsweg: Gelder fließen häufig in P2P-Marktplätze wie Paxful und Noones.

Die neuesten Bitcoin-Transaktionen, die als Wallet(s) von Lazarus Group markiert wurden (laut Arkham Intelligence), wurden vor 3 Tagen in der Bitcoin-Blockchain verzeichnet.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wichtig zu verstehen: Die oben dargestellte Organisationsstruktur von Lazarus (RGB, Lab 110, Bureau 121 bis hin zu Sub-Einheiten wie BlueNoroff und Andariel) ist keine Hierarchie, die in der Sicherheitscommunity vollständig einheitlich akzeptiert ist. Sogar Forschungsinstitute wie Mandiant und EuRepoC erkennen an, dass es noch keinen sicheren Konsens darüber gibt, wer wem unterstellt ist. Das ist kein Versagen der Forschung, sondern das Ergebnis des eigenen operativen Designs von Bureau 121, das von Anfang an auf Geheimhaltung und plausible Verneinbarkeit setzt.
Auch das Risiko eines False-Flag-Setups ist nie wirklich vollständig ausgeschlossen. Kaspersky selbst hat 2017 anerkannt, dass Code-Ähnlichkeiten möglicherweise als Manipulation konstruiert sein könnten, um Ermittler in die Irre zu führen. Angesichts von WannaCry – einem der Angriffe, die am stärksten mit Lazarus in Verbindung gebracht werden – wurden im Gegenteil Tools der NSA genutzt, die von Shadow Brokers gestohlen wurden. Ebenso der Verweis auf „Lazarus“ bei neueren Vorfällen wie Bybit und KelpDAO: Viele frühe Berichte sind weiterhin als „Indizien“ oder „wahrscheinliche Zuordnung“ von privaten Sicherheitsanbietern gekennzeichnet, nicht als offizielle forensische Bestätigung durch Institutionen wie das FBI. Auch die häufig zitierten Zahlen zur Personalstärke (1.600 bis 1.700 pro Unit bzw. insgesamt 3.300–7.500 Mitglieder) stammen aus Schätzungen unterschiedlicher Quellen mit nicht öffentlich einsehbaren Methodologien; daher sollten sie als Annahmen und nicht als feste Fakten behandelt werden.
Quelle:
1. VOA News — Where Did North Korea's Cyber Army Come From?
2. TerraZone — Lazarus Group: The Complete Guide to North Korea's Dangerous Cyber Threat Actors
3. Hunt & Hackett — Threat Actor Profile: Lazarus
4. Wikipedia — Lazarus Group
5. Mandiant / Google Cloud Blog — Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations
6. EuRepoC (European Repository of Cyber Incidents) — APT Profile: Lazarus Group
7. UMA Technology — Bureau 121, North Korea's Elite Cyber Hacking Unit
8. Bugcrowd — Lazarus Group Glossary
9. MITRE ATT&CK — Gruppe G0032 (Lazarus Group)
10. ResearchGate — „Lazarus“ Die nordkoreanische Hackergruppe (akademisches Journal)
11. Chainalysis — 2026 Crypto Crime Report
12. CertiK — Forschung zu Malware-Kampagne „Mach-O Man“
Bildquelle:
- Arkham Intelligence
- Mempool Space (Bitcoin-Transaktionen)
