Weil der Autor vom PDF-Magazin Phrack „weiteren Schaden an ihrem Dienst verursachen könnte" sperrte Proton Mail mehrere E-Mail-Accounts.
Am 19. August 2025 veröffentlichte das anonym betriebene Hacker-Magazin Phrack in Ausgabe #72 den Beitrag „APT Down – The North Korea Files“. Am 15. August 2025 sperrte Proton Mail das E-Mail-Konto des Whistleblowers. Einen Tag später betraf die Sperre auch den Account des Autors.
Proton Mail befürchtet Rufschädigung
Beide Konten verwendete man, um mit südkoreanischen Behörden im Rahmen der verantwortungsvollen Offenlegung („responsible disclosure“) in Kontakt zu treten. Beim Online-Speicherdienst Proton Drive hat man Ausgabe 72 ebenfalls öffentlich bekannt gemacht, das Archiv ist aber dort noch verfügbar. Als Reaktion auf die Berichterstattung legte Proton Mail die E-Mail-Accounts beider Akteure lahm. Der Autor legte eine Beschwerde bei Proton ein. Die Antwort lautete, dass das Konto „weiteren Schaden an ihrem Dienst verursachen könnte“, weswegen die Sperrung bestehen bleibe. Weitere Erklärungen gab es von Proton nicht. Die Rechtsabteilung von Proton wurde achtmal kontaktiert, man hat auf die zahlreichen Anfragen jedoch nie geantwortet.
Der Leak ist schon über vier Wochen alt
Im Vorfeld hatten zwei Hacker den Rechner eines Cyberkriminellen übernommen, der nachweislich im Auftrag der nordkoreanischen Regierung tätig ist. Die beiden Autoren des Leaks präsentierten erstmals die geheimen Abläufe der nordkoreanischen Hackergruppierung APT auf der Konferenz DefCon 2025. Dort zelebrierte das kostenlose PDF-Magazin auch sein vierzigjähriges Bestehen! Die Gruppe APT (Advanced Persistent Threat) ist auch bekannt unter den Namen APT43, Kimsuky und Thalium. Der Hacker, dessen Hardware kontrolliert wurde, war verantwortlich für Angriffe auf Journalisten, Behörden und verschiedene Unternehmen in Südkorea. APT machte auch Schlagzeilen mit Hack-Angriffen, bei denen man zum Wohl der nordkoreanischen Regierung große Krypto-Diebstähle durchgeführt hat.
Veröffentlichung belegt Kooperation mit chinesischen Hackern
Aus dem Leak geht auch hervor, dass man regelmäßig mit Regierungshackern aus China kooperiert hat. So habe man mit den chinesischen Kollegen Wissen und Code geteilt, um die Arbeit effektiver zu gestalten. Die Leaker des Datensatzes glauben, der Cyberspion sei seiner Arbeit nur aus reiner Gier nachgegangen. Er glaube wohl, über allem und somit auch über dem Gesetz zu stehen. Sie werfen Kim, wie sie ihn nennen, vor, mit der falschen Motivation zu handeln. Immerhin habe er täglich pünktlich um 17 Uhr Feierabend gemacht, wie aus seinen Dateien hervorgeht.
Der Inhalt des Dumps ist mit Vorsicht zu genießen!
Der Dump, den man auch bei DDoS-Secrets etc. veröffentlicht hat, enthält viele Backdoors der Gruppierung Kimsuky und ihre Tools sowie die interne Dokumentation. Jetzt habe man die Möglichkeit, ihre Clients, Dokumentation, Passwörter, Quellcodes und Befehlsdateien sehen zu können. „Als Zugabe geben wir Ihnen auch ein Backup ihres VPS, den sie für Spear-Phishing-Angriffe verwendet haben.“ Wer auch immer die Dateien öffnen will, solle dies mit Vorsicht tun, warnen die beiden Autoren alle Interessenten.
Mit welcher Motivation hat Proton Mail gehandelt?
Nun diskutiert man im Netz zunehmend darüber, ob die Sperre von Proton Mail gerechtfertigt war, zumal man die von den Hacks betroffenen Organisationen in Südkorea vorab informiert hat, um sie zu schützen. Inwiefern der Artikel „APT Down – The North Korea Files“ für Schäden am Ruf des Schweizer Unternehmens sorgen kann, bleibt ungeklärt. Wenn man etwas gegen diese Veröffentlichung einzuwenden hat, warum bleibt das Archiv dann beim Speicherdienst Proton Drive bestehen? Die Vorgehensweise wirkt höchst skurril. Wie dem auch sei. Der Whistleblower und der Phrack-Autor werden wohl schlichtweg künftig ohne Zugang zu ihren Proton-Accounts auskommen müssen.
