GothFerrari muss 78 Monate in Haft. Die Krypto-Bande jagte Hardware-Wallets und erbeutete 250 Mio. US-Dollar.
Was als Discord-Scam und Voice-Phishing begann, endete laut US-Ermittlern mit eingeschlagenen Fenstern, gejagten Hardware-Wallets und der Verschmelzung von Cybercrime und physischer Gewalt. Eine Krypto-Bande erbeutete mit Phishing, Datenklau und Home-Invasion-Angriffen mehr als 250 Millionen US-Dollar. Mittendrin agierte Marlon „GothFerrari“ Ferro, der Mann fürs Grobe.
Cold Wallets gelten in der Kryptoszene als ultimative Verteidigung gegen Hacker. Was passiert aber, wenn Angreifer nicht mehr versuchen, Wallets remote zu kompromittieren, sondern unerwartet vor der eigenen Haustür stehen? Der Fall „GothFerrari“ zeigt, dass moderne Cybercrime-Gruppen ihre Opfer nicht mehr nur online attackieren. Laut einer Pressemitteilung des U.S. Department of Justice (DOJ) setzte die Bande neben Phishing und Datenklau auch auf reale Einbrüche, um an Kryptowährungen zu gelangen.
Laut Gerichtsakten stießen Bundesermittler auf eine arbeitsteilig organisierte Social-Engineering-Gruppe, die zwischen Ende 2023 und Anfang 2025 Kryptowährungen im Wert von mehr als 250 Millionen US-Dollar erbeutet haben soll.
Cybercrime verlässt den Bildschirm
Der 20-jährige Marlon Ferro aus Santa Ana, Kalifornien, besser bekannt unter seinem Online-Alias „GothFerrari“, wurde am Mittwoch von einem US-Bundesgericht zu 78 Monaten Haft verurteilt. Hinzu kommen drei Jahre unter Aufsicht sowie 2,5 Millionen US-Dollar Schadenersatz. Ferro hatte sich bereits im Oktober 2025 schuldig bekannt, Mitglied einer kriminellen Organisation gewesen zu sein, die Kryptowährungen im Wert von mehr als 250 Millionen US-Dollar gestohlen haben soll.
Der Fall hebt sich jedoch bezeichnend von klassischen Krypto-Scams ab. Die Gruppe setzte nicht nur auf Social Engineering, Voice-Phishing und kompromittierte Datenbanken, sondern verlagerte Cybercrime zunehmend in die reale Welt. Wenn Opfer ihre Kryptowährungen auf Hardware-Wallets oder Cold Wallets lagerten und digitale Angriffe scheiterten, soll Ferro losgeschickt worden sein. US-Staatsanwältin Jeanine Pirro verdeutlicht:
„Wenn seine Mitverschwörer Opfer nicht dazu bringen konnten, Zugriff auf ihre Kryptowährungen herauszugeben, wurde Ferro losgeschickt, um Hardware-Wallets direkt aus den Wohnungen zu stehlen“.
Die Ermittler beschreiben ihn als „Instrument of last resort“, also als letztes Mittel der Bande, um doch noch an die Kryptowährungen ihrer Opfer zu gelangen. Statt Malware oder SIM-Swapping griff die Gruppe schließlich zu realen Einbrüchen. Laut DOJ verschmolz die Bande dabei „ausgefeilte Online-Betrugsmaschen mit klassischen Wohnungseinbrüchen“.
Von Discord und Gaming-Plattformen in die Krypto-Unterwelt
Laut der erweiterten Anklageschrift (Superseding Indictment) fand ein erheblicher Teil der Gruppe ursprünglich über Online-Gaming-Plattformen und Discord zusammen. Die Bande bestand aus unterschiedlichen Spezialisten, darunter Datenbank-Hacker, sogenannte „Caller“ für Voice-Phishing, Geldwäscher, Zielpersonen-Identifizierer und operative Kräfte für reale Einbrüche.
Die Ermittlungsakten zeigen dabei eine bemerkenswert professionelle Struktur. Gruppenmitglieder diskutierten Gewinnaufteilungen, organisierten Luxusreisen und kommunizierten über Telegram sowie Signal. Teilweise sollen Bargeldsummen sogar in Squishmallow-Kuscheltieren durch die USA verschickt worden sein.
Die Täter lebten laut US-Justiz in einem regelrechten Luxusrausch. Gestohlene Kryptowährungen flossen demnach in Privatjets, Luxusvillen in Los Angeles, den Hamptons und Miami, Security-Teams, exotische Fahrzeuge im Millionenwert sowie Luxusuhren im Wert zwischen 100.000 und über 500.000 US-Dollar und Designerkleidung. Selbst Luxushandtaschen im Wert von Zehntausenden US-Dollar sollen auf Nachtclubpartys verschenkt worden sein.
GothFerrari und die Jagd auf Hardware-Wallets
Die Gruppe konzentrierte sich gezielt auf Besitzer großer Kryptobestände. Über kompromittierte Datenbanken, Social Engineering und iCloud-Tracking identifizierten die Täter Personen mit hohen Wallet-Beständen. Wenn die Opfer ihre Coins nicht auf Hot Wallets, sondern offline auf Hardware-Wallets speicherten, begann die Jagd in der realen Welt.
Im Februar 2024 soll Ferro nach Winnsboro in Texas gereist sein und dort eine Hardware-Wallet mit rund 100 Bitcoin gestohlen haben. Ihr damaliger Wert lag bei mehr als fünf Millionen US-Dollar.
Noch extremer verlief ein späterer Angriff in New Mexico. Laut Anklage observierte Ferro ein Wohnhaus mehrere Tage lang und platzierte ein Smartphone außerhalb des Gebäudes, um Bewegungen zu überwachen. Parallel trackten andere Mitglieder den Standort des Opfers über dessen iCloud-Konto. Als das Haus leer war, warf Ferro mit einem Ziegelstein ein Fenster ein und suchte gezielt nach der Cold Wallet des Bewohners. Überwachungskameras zeichneten den Angriff auf.
Spätestens hier greifen digitale Angriffe in die reale Welt über. Hardware-Wallets schützen zwar vor Remote-Hacks, aber nicht vor Tätern, die wissen, wo ihre Opfer wohnen.
Vom Wallet-Diebstahl zur Geldwäsche
Ferro soll nicht nur als Einbrecher aktiv gewesen sein. Die Ermittler sehen ihn auch als zentrale Figur der Geldwäsche-Strukturen innerhalb der Gruppe. Mit gefälschten Ausweisdokumenten eines ausländischen Staatsangehörigen eröffnete er laut Anklage ein Konto bei einer geo-blockierten Zahlungsplattform. Nach Angaben von The Register nennen die Gerichtsunterlagen die Plattform RedotPay. Dadurch konnten Mitglieder der Gruppe gestohlene Kryptowährungen über Zahlungskarten in Luxusgeschäften und Nachtclubs ausgeben.
Allein Ferro soll über 255.000 US-Dollar für Designerbekleidung ausgegeben haben. Zudem organisierte er offenbar Hermès-Birkin-Bags für die Freundin eines Mitverschwörers.
Quelle: DOJ
Nach der Festnahme eines mutmaßlichen Anführers der Gruppe im September 2024 arbeitete Ferro laut US-Behörden weiter für die Organisation. Er sammelte Kryptowährungen anderer Mitglieder ein, wandelte sie über illegale Kryptobörsen in Bargeld um und finanzierte damit unter anderem die Anwaltskosten des 21-jährigen inhaftierten mutmaßlichen Gruppenanführers Malone Lam.
Ferro wurde am 13. Mai 2025 festgenommen. Bei seiner Festnahme fanden Ermittler zwei Schusswaffen sowie ein gefälschtes Ausweisdokument.
Quelle: DOJ
GothFerrari als Sinnbild einer neuen Cybercrime-Generation
Mit dem Fall „GothFerrari“ bleibt Cybercrime nicht mehr auf die digitale Welt beschränkt. Die Grenze zwischen Online-Betrug und physischer Gewalt verschwimmt zunehmend. Die Täter kombinierten Discord- und Gaming-Kultur mit Social Engineering, kompromittierten Datenbanken, iCloud-Tracking, Geldwäsche und gezielten Angriffen auf Besitzer von Hardware-Wallets. „Kryptobetrug ist kein folgenloses Verbrechen, das sicher hinter einem Bildschirm begangen wird“, erklärte Pirro nach dem Urteil.
Der Fall liefert einen seltenen Einblick in die Struktur moderner Cybercrime-Gruppen. Die Täter treten als junge, digital sozialisierte Szene aus Discord-, Gaming- und Telegram-Kreisen in Erscheinung. Organisiert wie ein Start-up und arbeitsteilig vernetzt, ergänzten sie digitale Angriffe notfalls durch reale Einbrüche.
Eine ähnliche Entwicklung beobachten Ermittler mittlerweile weltweit. Sicherheitsforscher von CertiK dokumentierten kürzlich einen Anstieg sogenannter „Wrench Attacks“, also physischer Angriffe auf Besitzer von Kryptowährungen. Cold Storage allein reicht damit nicht mehr als Sicherheitsstrategie. Die Jagd auf Hardware-Wallets dürfte deshalb für Krypto-Besitzer ein Weckruf sein. Wer große Kryptobestände öffentlich zur Schau stellt und dabei seine operative Sicherheit vernachlässigt, könnte künftig selbst als Ziel einer Home Invasion enden.
