Nordkorea hält die meisten Bürger vom globalen Internet fern – nutzt es selbst aber gezielt: für Propaganda, für staatliche Hacker und um Milliarden an Kryptowährungen zu erbeuten. Gleichzeitig hat das Land eine lange Geschichte als Drogenschmuggel-Staat, von Heroin und Haschisch über Diplomaten bis zu industriell produziertem Methamphetamin. Vieles spricht dafür, dass beides weiterläuft: APT-Gruppen wie Lazarus und Kimsuky sind unvermindert aktiv, und Drogenhandel wird dem Regime nach wie vor zugerechnet.
Hinzu kommt ein Phänomen, das in Europa und Amerika zunehmend Schlagzeilen macht: Remote-Work-Scams. Nordkoreanische IT-Arbeiter schummeln sich mit gefälschten Identitäten, gefakten LinkedIn-Profilen und vorgespielten Bewerbungsgesprächen in Remote-Jobs bei westlichen Firmen – und lenken Gehälter sowie teils gestohlene Daten ins Regime. Nach stärkerer Strafverfolgung in den USA weichen die Akteure zunehmend auf europäische Arbeitgeber aus, darunter Verteidigung und Behörden.
Dieser Beitrag ordnet ein, wie das Internet in Nordkorea funktioniert, wer die APT-Gruppen sind und was sie tun, was aus der Drogen-Vergangenheit bekannt ist – und warum Remote-Work-Betrug in USA und Europa für Unternehmen und Recruiting relevant wird.
Worum es geht
- Internet: Kwangmyong-Intranet für fast alle; globales Internet nur für wenige Tausend (Elite, Hacker, Propaganda). China und Russland als Uplinks.
- APT-Gruppen: Lazarus, Kimsuky, TraderTraitor – Crypto-Diebstahl (2025 allein rund 2 Mrd. $), Spionage, Supply-Chain-Angriffe. FBI bestätigt Lazarus u. a. für den Bybit-Heist 2025.
- Remote-Work-Scams: Nordkoreanische ITler ergattern mit Fake-Identitäten Remote-Jobs in USA und Europa (u. a. UK, Deutschland, Portugal). Gehälter fließen ins Regime; teils Erpressung mit gestohlenen Daten. Nach US-Crackdown verstärkt Fokus auf Europa.
- Drogen: Seit den 1970ern staatlich geförderter Schmuggel; Office 39, Meth-Produktion, China als Absatzmarkt. Nach 2000 weniger direkt, aber weiterhin Hinweise auf Nutzung.
Internet in Nordkorea: Kwangmyong, .kp und globales Netz nur für wenige
Die allermeiste Bevölkerung Nordkoreas hat kein Zugang zum globalen Internet. Stattdessen nutzt sie Kwangmyong, ein staatliches Intranet mit .kp-Domains, E-Mail, der Suchmaschine „Naenara“, Videokonferenzen (z. B. Rakwon) und tausenden genehmigten Seiten. Es gibt eine Art soziales Netzwerk für Hochschulen, Propaganda, Wissenschaft und Kultur – alles nur innerhalb Nordkoreas erreichbar, nicht im weltweiten Web. Wer sich dort bewegt, wird zensiert und überwacht (Wikipedia, ts2.tech).
Globales Internet haben nur wenige Tausend Menschen: hochrangige Funktionäre, ausgewählte Forscher, Propagandisten und Hacker. Entweder bist du Elite, weil du Internet brauchst – oder du bekommst Elite-Status, weil du es brauchst. Wer Zugang hat, wird stark überwacht; genutzt werden Geräte von Apple, Samsung und Huawei sowie teils VPNs (Vox, Recorded Future). Der gesamte internationale Traffic läuft über China (vor allem China Unicom) und seit 2017 auch Russland (TransTelecom). Nordkorea verfügt nur über wenige IP-Blöcke; manche Einrichtungen teilen sich eine einzige Adresse (38 North, North Korea Tech).
Seit 2023/24 wird ein 4G/LTE-Ausbau mit Mirae-Wi‑Fi für Kwangmyong vorangetrieben. Global online gehen weiterhin deutlich unter 10.000 Menschen – inklusive der Hacker, die im Namen des Regimes Krypto erbeuten und Spionage betreiben (DataReportal, Daily NK).
Kwangmyong ist Nordkoreas nationales Intranet. Kein Zugang zu Google, YouTube o. Ä. – nur staatlich genehmigte Inhalte. Geschätzt 1.000 bis 5.500 innen gerichtete Seiten, E-Mail, Suche (Naenara), Message Boards, Video-Calls. Überwachung und Zensur sind zentral. Globales Internet bleibt die Ausnahme für Elite, Propaganda und Hacker.
APT-Gruppen: Lazarus, Kimsuky, TraderTraitor und Crypto-Diebstahl
Nordkorea unterhält mehrere miteinander verzahnte APT-Gruppen (Advanced Persistent Threat). Sie betreiben Spionage und finanzielle Angriffe, vor allem Krypto-Diebstahl, und nutzen gemeinsame Infrastruktur, Malware und Ziele. Die Zuordnung zu „Lazarus“ oder „Kimsuky“ ist deshalb oft fließend; das Regime bündelt Ressourcen und wechselt Aufgaben schnell (Mandiant).
Lazarus (u. a. APT38, TEMP.Hermit) wird dem Reconnaissance General Bureau (RGB) zugerechnet und gilt als verantwortlich für den Angriff auf Sony 2014, den Diebstahl bei der Bangladesh Bank 2016, WannaCry 2017 und zahlreiche Crypto-Angriffe. Die Untergruppe TraderTraitor (auch Jade Sleet, Slow Pisces) zielt gezielt auf Blockchain- und Krypto-Firmen, unter anderem über Spear-Phishing an Entwickler und Admins (CISA, US Treasury).
Im Februar 2025 erbeuteten Angreifer rund 1,5 Mrd. $ von der Krypto-Börse Bybit – einer der größten Crypto-Heists überhaupt. Sie kompromittierten SafeWallet über eine kompromittierte Entwicklermaschine, nutzten eine Signing-Interface-Masche und leiteten Mittel auf eigene Adressen um. Das FBI bestätigte Lazarus (TraderTraitor) als Täter. Ein Großteil wurde in ETH gehalten und auf tausende Wallets verteilt; ein Teil konnte durch Tether-Freezes und Kooperation mit Börsen zurückgeholt werden (FBI/TechTarget, BleepingComputer, CoinTelegraph). 2025 stahlen nordkoreanische Akteure insgesamt rund 2,02 Mrd. $ an Krypto – etwa 76 % aller Service-Compromises weltweit in dem Jahr (The Hacker News).
Kimsuky (APT43) ist seit mindestens 2012 aktiv und wird dem RGB bzw. „Room 35“ zugerechnet. Im Vordergrund steht Spionage: Ziele sind Südkorea, USA, Japan, Thinktanks, Akademiker sowie Atom- und Außenpolitik. Die Gruppe nutzt aggressives Social Engineering, Phishing und Malware. Crypto wird durch Mining, Erpressung und Diebstahl genutzt, um eigene Operationen zu finanzieren. Südkorea, USA und Japan haben Kimsuky sanktioniert (Mandiant, Chainalysis).
Weitere relevante Gruppierungen sind Andariel (Militär, Nuklear, Ransomware wie MAUI zur Selbstfinanzierung), AppleJeus und CryptoCore (krypto-fokussiert), sowie IT Workers: Tausende nordkoreanische ITler arbeiten weltweit, teils unter falscher Identität, führen legitime Projekte aus und unterstützen heimliche Cyber-Angriffe (Mandiant, US Treasury). Supply-Chain-Angriffe (z. B. 3CX, Trading Technologies) werden TraderTraitor zugeschrieben (GBHackers).
Lazarus (APT38, TEMP.Hermit): RGB, Sony, Bangladesh Bank, WannaCry, Crypto-Heists. TraderTraitor ist eine Untergruppe, fokussiert auf Blockchain/Krypto – Bybit 2025, 3CX, Supply-Chain. Kimsuky (APT43): Spionage in ROK, USA, Japan; Thinktanks, Nuklear; Crypto zur Eigenfinanzierung. Andariel: Militär, Nuklear; Ransomware (MAUI) zum Self-Funding. Alle teilen sich Tooling, Infrastruktur und Ziele; klare Abgrenzung ist schwierig.
Remote-Work-Scams: Nordkoreanische ITler in USA und Europa
Neben klassischem Hacking und Crypto-Diebstahl betreibt Nordkorea ein weiteres, lukratives Geschäftsmodell: Remote-Work-Scams. Tausende IT-Arbeiter werden gezielt ins Ausland bzw. in remote arbeitende Rollen geschickt, um in westlichen Unternehmen zu arbeiten – unter gefälschten Identitäten. Sie erbringen teils echte Leistung, erbeuten aber zugleich Zugang zu Systemen, Quellcode und Daten. Ein Großteil der Gehälter fließt ans Regime; US-Behörden schätzen, dass einzelne Teams mehr als 3 Mio. $ pro Jahr einbringen können, Einzelpersonen teils über 300.000 $ (Reuters, The Record, Fortune).
Die Methoden sind durchdacht: gefälschte LinkedIn-Profile, erfundene Lebensläufe, gefälschte Arbeitspapiere (z. B. US-Green-Cards) und Interview-Skripte, mit denen sich Kandidaten auf typische HR-Fragen vorbereiten – inklusive Ausreden für „nur Remote“ (z. B. angebliche Reise zu kranken Eltern). Oft geben sie vor, in den USA oder Europa zu wohnen, arbeiten tatsächlich aber aus China, Russland, Laos oder Nordkorea. Laptop-Farmen und lokale Mittelsmänner („Facilitators“) in den USA und Europa sorgen dafür, dass Arbeitsgeräte in der richtigen Zeitzone laufen und bei Videocalls vertrauenswürdige Gesichter erscheinen. Die Mittelsmänner behalten oft einen erheblichen Anteil der Gehälter (Berichte nennen z. B. 70 %); Auszahlung erfolgt über Krypto, PayPal oder Payoneer (Reuters, Unit 42, Fortune).
Nach verstärkten Ermittlungen und Anklagen in den USA – u. a. gegen US-Bürger, die Laptop-Farmen und Finanznetzwerke betrieben – weichen die Akteure zunehmend auf Europa aus. Google’s Threat Intelligence und andere Quellen berichten von gezielten Bewerbungen in Großbritannien, Deutschland, Portugal und weiteren Ländern, oft in Verteidigung, Behörden und Regierungsnähe. Die ITler geben sich dabei als Staatsangehörige von Italien, Japan, Malaysia, Singapur, Ukraine, USA oder Vietnam aus und nutzen Plattformen wie Upwork, Freelancer sowie Telegram (The Record, The Register).
Werden sie enttarnt, wechseln manche die Taktik: Statt sich zu verstecken, erpressen sie den Arbeitgeber. Sie drohen, gestohlene Daten – Quellcode, proprietäre Informationen – an Konkurrenten oder öffentlich weiterzugeben, falls die Firma sie feuert oder meldet. Das FBI hat dazu 2025 eigens gewarnt (The Record). Betroffen waren bereits Hunderte von Unternehmen, darunter namhafte Fortune-500-Firmen – von TV-Netzwerken über Tech-Konzerne bis zu Aerospace und Autoherstellern (Fortune).
Für Recruiting und HR: Sorgfältige Identitäts- und Recht-zu-arbeiten-Prüfungen, klare Remote-Richtlinien (z. B. wo Geräte stehen, wer bei Videocalls dabei ist) und Segmentierung von Zugriffen können das Risiko verringern. Hinweise und Advisories liefern u. a. CISA, FBI, Unit 42 und Google Threat Intelligence.
Nordkoreanische ITler bewerben sich mit gefälschten Identitäten (LinkedIn, Lebenslauf, Papiere, Interview-Skripte) bei US- und europäischen Firmen für Remote-Jobs. Sie arbeiten teils aus China, Russland, Nordkorea; Laptop-Farms und lokale Facilitators täuschen Präsenz in USA/Europa vor. Gehälter fließen ins Regime. Nach US-Crackdown mehr Fokus auf Europa (UK, Deutschland, Portugal, Verteidigung/Behörden). Bei Enttarnung teils Erpressung mit gestohlenen Daten. Fortune-500-Firmen betroffen.
Drogenschmuggel: Von Botschaften zu Office 39 und Meth
Nordkoreas staatliche Beteiligung am Drogenschmuggel ist seit Jahrzehnten dokumentiert – zunächst Heroin und Haschisch, später Methamphetamin. Die direkte Rolle des Staates ist heute schwerer einzeln zu belegen, wird aber weiterhin vermutet.
In den 1970er Jahren geriet Nordkorea in Zahlungsschwierigkeiten. Kim Il-sung ordnete an, dass Botschaften sich selbst finanzieren sollten. Diplomaten nutzten ihre Immunität und schmuggelten Haschisch und Heroin. Unter Kim Jong-il wurden Narcotrafficking-Operationen ab den späten 1960er/70er Jahren gezielt als Devisenquelle ausgebaut. 1976 wurden nordkoreanische Diplomaten unter anderem in Dänemark, Finnland, Norwegen und Schweden wegen Haschisch-Handels ausgewiesen – das Regime wechselte die Taktik und kooperierte zunehmend mit kriminellen Netzwerken (Vice, NK Hidden Gulag, Emerald).
Office 39 (Büro 39 der Arbeiterpartei) ist eine geheime Einheit zur Devisenbeschaffung durch illegale Geschäfte – Drogen, Fälschungen, Waffen. Sie kontrolliert Produktion, Schmuggel und Vertrieb von Methamphetamin sowie Opium/Mohn für Heroin. Meth wird in Nordkorea industriell hergestellt, inland konsumiert und ins Ausland verkauft, vor allem nach China. Office 39 soll dem Regime bis zu rund 1 Mrd. $ jährlich einbringen. 2014 vollstreckte China die Todesstrafe gegen einen Nordkoreaner wegen Schmuggels DPRK-produzierter Drogen – erstmals offizielle chinesische Zuordnung zu Nordkorea als Quelle (Reuters, US State, The Daily Beast).
Studien sehen einen Rückzug des Staates aus direkter Produktion und Vertrieb nach 2000; nicht-staatliche Akteure hätten mehr übernommen. Trotzdem flutet nordkoreanisches Meth weiterhin den Nordosten Chinas. Das Regime outsourct teils an transnationale Kartelle, die in oder via Nordkorea agieren und dem Regime einen Anteil abgeben. Office 39 bleibt in Analysen und Sanktionsdebatten zentral (Emerald, Vice, CRS). Kurz: Der Staat hat früher offen geschmuggelt; heute ist die Führung schwerer einzeln nachzuweisen. Struktur, Produktion, Absatz und Berichte deuten aber darauf hin, dass Drogengeschäfte weiterhin eine Rolle spielen – ob direkt, über Strohmänner oder Kartell-Deals.
Office 39 ist die geheime Devisen-Beschaffung der Partei. Drogen (Meth, Opium/Heroin), Fälschungen, Waffen. Kontrolliert Produktion und Schmuggel; Meth wird in Nordkorea hergestellt und vor allem nach China verkauft. Schätzungen: rund 1 Mrd. $ jährlich für das Regime.
Fazit
Nordkorea betreibt eine doppelte Strategie: innen hält es die Bevölkerung im Kwangmyong-Kosmos ohne globales Internet; außen nutzt es das globale Netz für Propaganda, Spionage und finanzielle Angriffe. APT-Gruppen wie Lazarus, Kimsuky und TraderTraitor erbeuten Milliarden an Krypto, führen Supply-Chain- und Zero-Day-Angriffe durch und finanzieren damit das Regime. Drogenschmuggel – einst über Botschaften, dann über Office 39 und Meth – hat Jahrzehnte gedauert; die direkte staatliche Rolle ist heute schwerer zu beweisen, aber Struktur, Herkunft des Meths und Berichte legen nahe, dass Drogen weiterhin als Devisenquelle genutzt werden.
Hinzu kommen Remote-Work-Scams in Amerika und Europa: Nordkoreanische ITler schlüpfen unter falscher Identität in Remote-Jobs, lenken Gehälter ins Regime und nutzen Zugang teils für Diebstahl und Erpressung. Nach stärkerer US-Strafverfolgung weichen die Akteure zunehmend auf europäische Arbeitgeber aus – auch in sensiblen Bereichen wie Verteidigung und Behörden. Für Unternehmen und Infrastruktur bleiben Phishing-Resilienz, Segmentierung, Credentials-Schutz, saubere Recruiting- und Identity-Checks sowie Threat Intelligence zentral.
Belegbare Quellen
- Wikipedia – Internet in North Korea – Kwangmyong, .kp, Zugang, China/Russland, IP-Blöcke.
- ts2.tech – Kwangmyong – Aufbau, Dienste, Zensur.
- DataReportal – Digital 2024: North Korea – Nutzerzahlen, 4G.
- 38 North – TransTelecom, zweiter Uplink.
- North Korea Tech – IP, PUST, Infrastruktur.
- Mandiant – North Korea Cyber Structure 2023 – APT-Gruppen, Lazarus, Kimsuky, TraderTraitor, Andariel, IT Workers.
- CISA – TraderTraitor (AA22-108A) – Blockchain/Krypto-Phishing.
- FBI / TechTarget – Lazarus, Bybit Heist 2025 – FBI-Bestätigung.
- BleepingComputer – Bybit-Heist.
- The Hacker News – North Korea $2.02B crypto 2025 – Gesamtzahlen 2025.
- Chainalysis – Kimsuky sanctions – Kimsuky, Crypto, Sanktionen.
- GBHackers – Kimsuky and Lazarus – Koordination, Zero-Days.
- Reuters – North Koreans fake names, remote IT work – Interview-Skripte, Fake-Identitäten, DOJ/FBI.
- Unit 42 – North Korean IT workers – Fake-Profile, Erkennung.
- The Record – IT worker scam spreads to Europe – Europa-Fokus, UK, Deutschland, Portugal, Erpressung.
- The Register – North Korean fake techies target Europe – Europa-Targeting.
- Fortune – North Korea IT worker scheme – Fortune 500, LinkedIn, Webex, Fiverr.
- Google – DPRK IT workers expanding scope – Europa, Erpressung, Facilitators.
- FBI IC3 PSA 2025 – Erpressung durch IT Workers.
- Reuters – Office 39 Factbox – Office 39, Drogen, Devisen.
- US State – INCSR 2015, North Korea – Meth, China, 2014-Hinrichtung.
- NK Hidden Gulag – Staatlicher Narcotrafficking.
- Emerald – Criminal state, narcotics North Korea – Netzwerke, Rückzug ab 2000.
- The Daily Beast – Meth, China, Office 39.
- Vice – Kartelle, Outsourcing.
- CRS – Drug Trafficking North Korea – US-Politik, Office 39.