De nieuwe tactiek van Lazarus Group: Crypto-investeerders pas op!

Lazarus Group’s Nieuwe Cyberaanval Tactiek: Een Waarschuwing Voor Crypto-investeerders

23 april 2026 om 08:09

Leestijd: 3 minuten

De staatsgefinancierde Lazarus Group uit Noord-Korea heeft een nieuwe campagne gelanceerd, genaamd “Mach-O Man”, die routinematige zakelijke communicatie gebruikt als een directe route naar identiteitsdiefstal en gegevensverlies. Dit geavanceerde cybernetwerk heeft sinds 2017 een indrukwekkend bedrag van ongeveer $6,7 miljard vergaard door high-value doelen in de fintech en cryptocurrency-sector te targeten. Natalie Newson, senior blockchain security researcher bij CertiK, legt uit dat deze groep niet alleen een nieuwsitem is, maar een constante, goed gefinancierde dreiging die ernstige gevolgen kan hebben voor investeerders en bedrijven in de cryptomarkt.

In de afgelopen twee weken alleen al heeft Lazarus meer dan $500 miljoen vergaard uit aanvallen op Drift en KelpDAO, wat duidt op een langdurige en strategisch gerichte campagne. Wat deze groep bijzonder gevaarlijk maakt, is niet alleen de omvang van hun activiteiten, maar ook de snelheid en professionaliteit waarmee ze te werk gaan. “Dit is geen willekeurige hacking; het is een door de staat geleide financiële operatie die op een schaal plaatsvindt die normaal gesproken alleen door grote instellingen wordt nagestreefd,” merkt Newson op. Dit niveau van activiteit zou voor investeerders een alarmbel moeten zijn. De crypto-industrie moet haar houding ten opzichte van Lazarus herzien en deze dreiging op gelijke voet stellen met hoe banken nation-state cyberacteurs beschouwen.

Mach-O Man is een modulair malwarekit voor macOS, ontwikkeld door de beruchte Chollima-divisie van Lazarus. Dit tast systeem aan met native Mach-O-binaries die specifiek zijn afgestemd op Apple-omgevingen – precies daar waar veel crypto- en fintech-acteurs actief zijn. Dit maakt de kans op succes van dergelijke aanvallen aanzienlijk groter. De methode voor het afleveren van deze malware, bekend als ClickFix, is opvallend ingenieus. Dit proces draait om sociale engineering, waarbij slachtoffers worden gevraagd één simpele opdracht in hun terminal in te voeren om zogenaamd een connectieprobleem op te lossen.

Executives ontvangen via Telegram een “dringende” uitnodiging voor een vergadering via Zoom, Microsoft Teams of Google Meet. Het bijgevoegde link leidt naar een vervalste, maar overtuigende website, die hen instrueert een commando in te voeren om “een connectieprobleem op te lossen.” Hiermee geven de slachtoffers onmiddellijk toegang tot hun bedrijfsnetwerken en financiële platforms. De meeste slachtoffers realiseren zich pas dat ze zijn aangevallen wanneer het te laat is; de malware heeft de sporen van de aanval al gewist.

De aanval kent verschillende varianten, waaronder gevallen waarin de Lazarus-aanvallers de domeinen van gedecentraliseerde financiën (DeFi) projecten overnemen. Door websites te vervangen door een nepbericht van Cloudflare, worden slachtoffers geforceerd om een commando in te voeren dat toegang verleent. “Deze valse ‘verificatiestappen’ begeleiden slachtoffers door middel van standaardtoetsen om een schadelijk commando uit te voeren,” legt Newson uit. “De pagina ziet er echt uit, de instructies lijken normaal en het slachtoffer initieert zelf de actie — wat maakt dat traditionele beveiligingsmaatregelen vaak falen.”

De slachtoffers van deze aanvallen zullen vaak pas beseffen dat hun systeem is gecompromitteerd wanneer de schade al is aangericht en de malware zichzelf heeft gewist. “Ze weten het waarschijnlijk nog niet,” stelt Newson. “En zelfs als ze dat wel doen, kunnen ze vaak niet achterhalen welke variant hen heeft getroffen.” Voor investeerders in de cryptomarkt is het noodzakelijk om deze risico’s serieus te nemen en voortdurend alert te blijven op de impact van dergelijke geavanceerde cyberdreigingen.

Vraag & Antwoord

Wat zijn de belangrijkste kenmerken van de Mach-O Man malwarekit?
Mach-O Man is een modulair macOS malwarekit dat is ontwikkeld door de Lazarus Group’s Chollima-divisie. Het maakt gebruik van native Mach-O-binaries die speciaal zijn afgestemd op Apple-omgevingen, waardoor het bijzonder effectief is in het targeten van crypto- en fintech-doelen.

Hoe werkt de ClickFix-methode precies?
ClickFix is een sociale engineering-techniek waarbij een slachtoffer wordt gevraagd om een opdracht in de terminal in te voeren om zogenaamd een verbinding te herstellen. Dit wordt vaak gepresenteerd als een dringende uitnodiging voor een vergadering via platforms zoals Zoom of Microsoft Teams.

Wat moeten bedrijven doen om zichzelf te beschermen?
Bedrijven moeten hun bewustzijn van dergelijke geavanceerde cyberdreigingen verhogen en sterke beveiligingsprotocollen implementeren. Dit omvat trainingen voor medewerkers om verdachte communicatie te herkennen en daarnaast regelmatig systeemupdates en veiligheidschecks uit te voeren.

Deel dit Artikel:

Disclaimer: de informatie op Block 9 is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden. Hoewel wij streven naar het aanbieden van actuele, correcte en relevante content, geven wij geen garanties met betrekking tot de volledigheid, juistheid of betrouwbaarheid van de verstrekte informatie. Alle inhoud op deze website, waaronder artikelen, analyses, meningen en andere publicaties, is bedoeld als algemene informatie en vormt op geen enkele wijze professioneel of juridisch advies, inclusief maar niet beperkt tot financieel, beleggings- of belastingadvies.

Block 9 geeft geen enkele garantie en doet geen enkele toezegging over mogelijke resultaten of opbrengsten die kunnen voortvloeien uit het gebruik van informatie op deze website. Niets op deze website mag worden geïnterpreteerd als een aanbeveling tot aankoop, verkoop of het aanhouden van bepaalde activa, waaronder maar niet beperkt tot cryptovaluta, tokens of andere financiële instrumenten.

De meningen en standpunten die worden geuit in bijdragen van redacteuren, externe auteurs of communityleden zijn strikt persoonlijk en vertegenwoordigen niet noodzakelijkerwijs de zienswijze of het beleid van Block 9 als platform. Block 9 aanvaardt geen enkele aansprakelijkheid voor enig verlies of schade – direct of indirect – als gevolg van het gebruik van (of het vertrouwen op) de informatie die op deze website wordt gepubliceerd.

Beleggen in cryptovaluta en andere digitale activa brengt aanzienlijke risico’s met zich mee. De waarde van dergelijke activa kan sterk fluctueren, en er bestaat een kans dat je (een deel van) je inleg verliest. Wij raden je ten zeerste aan om altijd je eigen onderzoek te doen (do your own research – DYOR) en onafhankelijk advies in te winnen van een gekwalificeerde financieel adviseur voordat je financiële beslissingen neemt. Door deze website te gebruiken, ga je akkoord met deze disclaimer en accepteer je dat Block 9 niet verantwoordelijk is voor jouw investeringskeuzes of de resultaten daarvan.