Ein großes kambodschanisches Zahlungsunternehmen hat Kryptowährungen im Wert von über 150.000 Dollar von einer digitalen Geldbörse erhalten, die von der nordkoreanischen Hackergruppe Lazarus genutzt wurde. Dies zeigen Blockchain-Daten, die einen Einblick geben, wie das kriminelle Kollektiv Gelder in Südostasien gewaschen hat.

Das in Phnom Penh ansässige Unternehmen Huione Pay, das Währungsumtausch, Zahlungen und Überweisungsdienste anbietet, erhielt die Kryptowährung zwischen Juni 2023 und Februar dieses Jahres, wie aus den von Reuters geprüften, bisher nicht veröffentlichten Blockchain-Daten hervorgeht.

Die Kryptowährung wurde Huione Pay von einer anonymen digitalen Brieftasche geschickt, die laut zwei Blockchain-Analysten von Lazarus-Hackern benutzt wurde, um Gelder einzuzahlen, die im Juni und Juli letzten Jahres von drei Krypto-Unternehmen gestohlen wurden, hauptsächlich durch Phishing-Angriffe.

Das FBI sagte im August 2023, dass Lazarus etwa 160 Millionen Dollar von den Kryptounternehmen erbeutet hat: Atomic Wallet und CoinsPaid mit Sitz in Estland sowie Alphapo, das in St. Vincent und den Grenadinen registriert ist. Die Agentur hat keine Einzelheiten bekannt gegeben. Es waren die letzten in einer Reihe von Raubüberfällen durch Lazarus, die nach Angaben der Vereinigten Staaten die Waffenprogramme Pjöngjangs finanzieren.

Kryptowährung ermöglicht es Nordkorea, internationale Sanktionen zu umgehen, so die Vereinten Nationen. Dies wiederum könnte dem Royal United Services Institute, einer in London ansässigen Denkfabrik für Verteidigung und Sicherheit, dabei helfen, für verbotene Waren und Dienstleistungen zu bezahlen.

Der Vorstand von Huione Pay sagte in einer Erklärung, das Unternehmen habe nicht gewusst, dass es "indirekt" Gelder aus den Hacks erhalten habe und nannte die zahlreichen Transaktionen zwischen seiner Wallet und der Quelle des Hacks als Grund dafür, dass es nichts davon wusste. Die Wallet, die die Gelder versendet hat, wurde nicht von Huione verwaltet, so Huione.

Dritte können Transaktionen zu und von Wallets, die nicht von ihnen verwaltet werden, nicht kontrollieren. Mit Blockchain-Analysetools können Unternehmen jedoch risikoreiche Wallets identifizieren und versuchen, die Interaktion mit ihnen zu verhindern, sagen Krypto-Sicherheitsexperten.

Huione Pay - zu dessen drei Direktoren Hun To, ein Cousin von Premierminister Hun Manet, gehört - lehnte es ab, die Gründe für den Erhalt von Geldern von der Wallet zu nennen oder Einzelheiten zu seinen Compliance-Richtlinien zu nennen. Das Unternehmen teilte mit, dass Hun To als Direktor nicht die tägliche Aufsicht über das Unternehmen hat.

Reuters war nicht in der Lage, Hun To für einen Kommentar zu erreichen. Der Nachrichtenagentur liegen keine Beweise dafür vor, dass Hun To oder die herrschende Familie Kambodschas Kenntnis von den Krypto-Transaktionen hatten.

Die National Bank of Cambodia (NBC) sagte in einer Erklärung gegenüber Reuters, dass Zahlungsunternehmen wie Huione keine Kryptowährungen und digitalen Vermögenswerte handeln dürfen. Im Jahr 2018 hieß es, mit dem Verbot sollten Investitionsverluste aufgrund der Volatilität von Kryptowährungen, der Cyberkriminalität und der Anonymität der Technologie vermieden werden, "die zu Risiken der Geldwäsche und der Terrorismusfinanzierung führen können."

Die NBC sagte Reuters, dass sie "nicht zögern würde, Korrekturmaßnahmen" gegen Huione zu verhängen, ohne zu sagen, ob solche Maßnahmen geplant sind. Die nordkoreanische Vertretung bei den Vereinten Nationen in New York reagierte nicht auf eine Bitte um einen Kommentar. Eine Person bei der Mission bei den Vereinten Nationen in Genf sagte Reuters im Januar, dass frühere Berichte über Lazarus "alles Spekulation und Fehlinformation" seien.

Atomic Wallet und Alphapo reagierten nicht auf Anfragen nach einem Kommentar. CoinsPaid teilte Reuters mit, dass nach eigenen Angaben gestohlene Kryptowährungen im Wert von 3.700 Dollar in der Huione Pay Wallet gelandet sind.

Während Kryptowährung anonym ist und außerhalb des konventionellen Bankensystems fließt, sind ihre Bewegungen auf der Blockchain nachvollziehbar - ein öffentliches, unveränderliches Hauptbuch, das die Menge an Kryptowährung aufzeichnet, die von Wallet zu Wallet gesendet wird, und wann die Transaktionen stattgefunden haben.

Das US-amerikanische Blockchain-Analyseunternehmen TRM Labs teilte Reuters in einer Erklärung mit, dass Huione Pay eine von mehreren Zahlungsplattformen und außerbörslichen Brokern war, die einen Großteil der im Atomic Wallet Hack gestohlenen Kryptowährung erhalten haben. Broker bringen Käufer und Verkäufer von Kryptowährungen zusammen und bieten Händlern ein höheres Maß an Privatsphäre als Kryptobörsen.

In seiner Erklärung sagte TRM auch, dass die Hacker, um ihre Spuren zu verwischen, die gestohlenen Kryptowährungen über eine komplexe Geldwäscheoperation in verschiedene Kryptowährungen umgewandelt haben, darunter Tether (USDT) - ein so genannter Stablecoin, der einen festen Wert in Dollar beibehält. Für Tether-Transaktionen nutzten sie die Tron-Blockchain, ein schnell wachsendes Register, das wegen seiner Geschwindigkeit und niedrigen Kosten beliebt ist, fügte TRM hinzu.

Dieser Großteil der Gelder wurde auf der Tron-Blockchain in USDT umgewandelt und anscheinend an Börsen, Dienste und OTC geschickt - einer davon war Huione Pay", sagte TRM Labs gegenüber Reuters und bezog sich dabei auf die Aktionen der Hacker. Es wurden keine weiteren Details genannt.

Ein Sprecher des auf den Britischen Jungferninseln registrierten Tron sagte: "Tron verurteilt den Missbrauch von Blockchain-Technologien und setzt sich dafür ein, diese und andere böswillige Akteure in jeder Form und überall, wo sie anzutreffen sind, zu bekämpfen." Der Sprecher äußerte sich nicht direkt zu dem Atomic Wallet-Hack.

Estlands Ermittlungen zu den 2023 erfolgten Hacks von Atomic Wallet und Coinspaid sind noch nicht abgeschlossen, sagte Ago Ambur, der Leiter des estnischen Büros für Cyberkriminalität. Die Polizei für Cyberkriminalität in St. Vincent und den Grenadinen reagierte nicht auf Anfragen nach einem Kommentar zum Alphapo-Hack.

ROTE FLAGGE

Das US-Blockchain-Analyseunternehmen Merkle Science, das Strafverfolgungsbehörden in den Vereinigten Staaten und Großbritannien zu seinen Kunden zählt und zuvor Lazarus-Raubüberfälle untersucht hat, untersuchte für Reuters die Münzbewegungen bei den 2023-Hacks.

Ihr CEO, Mriganka Pattnaik, sagte, dass die Rückverfolgung von Geldern aus den Lazarus-Angriffen aufgrund der komplexen Methoden, die zur Verschleierung der Geldspur verwendet wurden, schwierig sei.

Merkle Science sagte, seine Untersuchung habe ergeben, dass es drei "Hops" oder Transfers von den Atomic Wallet-Hackern zu der anonymen Wallet gab, die später Gelder an Huione transferierte. Überweisungen zwischen mehreren Krypto-Wallets sind typischerweise ein Warnsignal für Organisationen, die versuchen, Gelder zu waschen, sagen Experten für Finanzkriminalität und Blockchain-Analysten.

Zwischen Juni und September 2023 schickte der Lazarus-Hacker, der es auf Atomic Wallet abgesehen hatte, Tether im Wert von rund 87.000 Dollar an die anonyme Wallet, so die von Merkle Science aufgedeckten Daten. Die Wallet erhielt auch Tether im Wert von rund 15.000 Dollar, die von CoinsPaid und Alphapo gestohlen wurden, so Merkle Science.

Im Januar erklärten die Vereinten Nationen, Lazarus habe Geldwäschenetzwerke mit Kriminellen in Südostasien geteilt, ohne die beteiligten Plattformen zu nennen.

Jeremy Douglas, der ehemalige Regionaldirektor für Südostasien des UN-Büros für Drogen- und Verbrechensbekämpfung, sagte, die Region sei voll von unregulierten Kryptoanbietern und Online-Casinos, die als "Untergrundbanken" agieren. Er hat sich nicht zu Huione geäußert.

Gruppen wie Lazarus bemühen sich, den Strafverfolgungsbehörden einen Schritt voraus zu sein, fügte er hinzu. Die Technologie und die Infrastruktur, die sich in ganz Südostasien ausgebreitet haben, sind ein entscheidender Teil ihrer Fähigkeit, dies zu tun.

"Südostasien ist in vielerlei Hinsicht zum globalen Ground Zero, zum primären Testgelände für High-Tech-Geldwäsche und Cybercrime-Operationen geworden", sagte er.

Das G7-Gremium für illegale Finanzgeschäfte, die Financial Action Task Force (FATF), hat Kambodscha im vergangenen Jahr von seiner "grauen Liste" der Länder mit mangelhafter Geldwäschebekämpfung gestrichen und sich dabei auf Verbesserungen seines Systems berufen.

Ein Sprecher der FATF verwies jedoch gegenüber Reuters auf einen Bericht aus dem Jahr 2021, in dem "große Lücken" in Kambodschas Vorschriften zur illegalen Finanzierung von Kryptounternehmen festgestellt wurden.

Die kambodschanische Zentralbank erklärte, dass sie Vorschriften ausarbeite, um die Nutzung von Kryptowährungen für illegale Aktivitäten wie Betrug, Geldwäsche und Cybersicherheitsbedrohungen zu identifizieren und zu bestrafen. (Bericht von Tom Wilson; Redaktion: Sharon Singleton und Daniel Flynn)