Bedreigingsactoren met banden met de Democratische Volksrepubliek Korea (DPRK of Noord-Korea) hebben een belangrijke rol gespeeld bij het aandrijven van een golf van wereldwijde diefstal van cryptocurrency in 2025, goed voor minstens 2,02 miljard dollar van de ruim 3,4 miljard dollar die tussen januari en begin december werd gestolen.
Dit cijfer vertegenwoordigt een stijging van 51% op jaarbasis en $681 miljoen meer dan in 2024, toen de bedreigingsactoren $1,3 miljard stalen, volgens het Crypto Crime Report van Chainalysis, gedeeld met The Hacker News.
“Dit is het zwaarste jaar ooit voor cryptodiefstal uit de DVK in termen van gestolen waarde, waarbij aanvallen uit de DVK ook verantwoordelijk zijn voor een recordaantal van 76% van alle servicecompromissen”, aldus het blockchain-inlichtingenbedrijf. “Over het geheel genomen brengen de cijfers voor 2025 de ondergrens van de cumulatieve schatting voor door de DVK gestolen cryptocurrency-fondsen op 6,75 miljard dollar.”
Alleen al het compromis van februari van de cryptocurrency-uitwisseling Bybit is verantwoordelijk voor $1,5 miljard van de $2,02 miljard die door Noord-Korea is geplunderd. De aanval werd toegeschreven aan een dreigingscluster dat bekend staat als TraderTraitor (ook bekend als Jade Sleet en Slow Pisces). Een analyse die eerder deze maand door Hudson Rock werd gepubliceerd, koppelde een met Lumma Stealer geïnfecteerde machine aan de infrastructuur die verband hield met de Bybit-hack, op basis van de aanwezigheid van het e-mailadres “trevorgreer9312@gmail(.)com.”
De diefstallen van cryptocurrency maken deel uit van een bredere reeks aanvallen die de afgelopen tien jaar zijn uitgevoerd door de door Noord-Korea gesteunde hackgroep genaamd Lazarus Group. Er wordt ook aangenomen dat de tegenstander betrokken is bij de diefstal van $36 miljoen aan cryptocurrency van de grootste cryptocurrency-uitwisseling van Zuid-Korea, Upbit, vorige maand.
Lazarus Group is aangesloten bij het Reconnaissance General Bureau (RGB) van Pyongyang. Er wordt geschat dat er tussen 2020 en 2023 niet minder dan 200 miljoen dollar is overgeheveld uit meer dan 25 cryptocurrency-overvallen.
De Lazarus Group is een van de meest productieve hackgroepen die ook een trackrecord heeft in het orkestreren van een langlopende campagne die Operatie Dream Job wordt genoemd, waarbij potentiële werknemers die werkzaam zijn in de defensie-, productie-, chemische, ruimtevaart- en technologiesector via LinkedIn of WhatsApp worden benaderd met lucratieve vacatures om hen te misleiden tot het downloaden en uitvoeren van malware zoals BURNBOOK, MISTPEN en BADCALL, waarvan de laatste ook in een Linux-versie komt.
Het einddoel van deze inspanningen is tweeledig: het verzamelen van gevoelige gegevens en het genereren van illegale inkomsten voor het regime, in strijd met de internationale sancties die aan het land zijn opgelegd.
Een tweede benadering van Noord-Koreaanse bedreigingsactoren is het onder valse voorwendselen inbedden van informatietechnologie (IT)-medewerkers in bedrijven over de hele wereld, hetzij op individuele basis, hetzij via dekmantelbedrijven als DredSoftLabs en Metamint Studio die voor dit doel zijn opgericht. Dit omvat ook het verkrijgen van geprivilegieerde toegang tot cryptodiensten en het mogelijk maken van compromissen met grote impact. De frauduleuze operatie heeft de bijnaam Wagemole gekregen.
“Een deel van dit recordjaar weerspiegelt waarschijnlijk een grotere afhankelijkheid van de infiltratie van IT-medewerkers bij beurzen, beheerders en Web3-bedrijven, wat de initiële toegang en zijwaartse beweging kan versnellen voorafgaand aan grootschalige diefstal”, aldus Chainalysis.
Het gestolen geld wordt vervolgens via Chineestalige geldverkeers- en garantiediensten geleid, evenals via cross-chain bruggen, mixers en gespecialiseerde marktplaatsen zoals Huione om de opbrengsten wit te wassen. Bovendien volgen de gestolen bezittingen een gestructureerd witwastraject met meerdere golven dat zich ongeveer 45 dagen na de hacks afspeelt.
- Golf 1: Onmiddellijke laagjes aanbrengen (dagen 0-5)waarbij het geld onmiddellijk wordt gescheiden van de diefstalbron met behulp van DeFi-protocollen en mengdiensten
- Golf 2: Initiële integratie (dagen 6-10)waarbij het geld wordt verschoven naar cryptocurrency-uitwisselingen, tweedelijnsmixdiensten en cross-chain bruggen zoals XMRt
- Golf 3: definitieve integratie (dagen 20-45)waarbij gebruik wordt gemaakt van diensten die de uiteindelijke conversie naar fiatvaluta of andere activa vergemakkelijken
“Hun intensieve gebruik van professionele Chineestalige witwasdiensten en over-the-counter (OTC)-handelaren suggereert dat dreigingsactoren uit de DVK nauw geïntegreerd zijn met illegale actoren in de regio Azië-Pacific, en komt overeen met Pyongyang’s historische gebruik van in China gevestigde netwerken om toegang te krijgen tot het internationale financiële systeem”, aldus het bedrijf.
De onthulling komt op het moment dat Minh Phuong Ngoc Vong, een 40-jarige man uit Maryland, is veroordeeld tot 15 maanden gevangenisstraf vanwege zijn rol in het IT-arbeidersprogramma door Noord-Koreaanse staatsburgers gevestigd in Shenyang, China, toe te staan zijn identiteit te gebruiken om banen te krijgen bij verschillende Amerikaanse overheidsinstanties, aldus het Amerikaanse ministerie van Justitie (DoJ).
Tussen 2021 en 2024 gebruikte Vong frauduleuze verkeerde voorstellingen om werk te krijgen bij ten minste dertien verschillende Amerikaanse bedrijven, waaronder het binnenhalen van een contract bij de Federal Aviation Administration (FAA). In totaal ontving Vong meer dan $ 970.000 aan salaris voor softwareontwikkelingsdiensten die werden uitgevoerd door buitenlandse samenzweerders.
“Vong spande samen met anderen, waaronder John Doe, ook bekend als William James, een buitenlander die in Shenyang, China, woont, om Amerikaanse bedrijven te bedriegen zodat ze Vong zouden inhuren als externe softwareontwikkelaar”, aldus het DoJ. “Nadat hij deze banen had veiliggesteld door middel van wezenlijk valse verklaringen over zijn opleiding, training en ervaring, stond Vong Doe en anderen toe zijn computertoegangsreferenties te gebruiken om het softwareontwikkelingswerk op afstand uit te voeren en daarvoor een vergoeding te ontvangen.”
Het IT-werknemersprogramma lijkt een strategiewijziging te ondergaan, waarbij aan de DVK gelieerde actoren steeds vaker optreden als recruiters om medewerkers te werven via platforms als Upwork en Freelancer om de activiteiten verder op te schalen.
“Deze recruiters benaderen doelen met een pitch in een script, waarbij ze ‘medewerkers’ vragen om te helpen bij het bieden op projecten en het opleveren ervan. Ze bieden stapsgewijze instructies voor accountregistratie, identiteitsverificatie en het delen van inloggegevens”, aldus Security Alliance in een rapport dat vorige maand werd gepubliceerd.
“In veel gevallen geven slachtoffers uiteindelijk de volledige toegang tot hun freelance-accounts op of installeren ze tools voor externe toegang, zoals AnyDesk of Chrome Remote Desktop. Hierdoor kan de bedreigingsacteur opereren onder de geverifieerde identiteit en het IP-adres van het slachtoffer, waardoor ze platformverificatiecontroles kunnen omzeilen en onopgemerkt illegale activiteiten kunnen uitvoeren.”
