4 juni 2026
Recent onthullingen hebben de gecompliceerde interactie tussen cybersecurity en cryptovaluta blootgelegd, met name hoe Noord-Koreaanse hackers, verbonden aan de beruchte Lazarus-groep, gebruik maken van legitime AI-hiringtools en clouddiensten om zich te infiltreren in de Amerikaanse cryptomarkt. Onderzoekers van BCA LTD, NorthScan en het malware-analyseplatform ANY.RUN hebben deze dynamiek in real-time kunnen vastleggen, wat ons een ongekend kijkje biedt in de evolutie van staatsgesponsorde cybercriminaliteit.
In een ingenieuze h oneypot-operatie lieten onderzoekers een zogenaamde ontwikkelaarslaptop zien, waarmee ze de Lazarus-groep naar hun valstrik leidde. De beelden onthullen hoe deze hackers, specifiek uit de beroemde Chollima-divisie, traditionele firewalls omzeilen door simpelweg in dienst te treden bij de personeelsafdeling van hun doelwitten. Het proces begon met het opzetten van een ontwikkelaarspersona, die zich via een recruiter met de naam “Aaron” liet interviewen. De recruiter leidde de doelgroep naar een remote job, een strategie die steeds gebruikelijker wordt in de Web3-sector.
Wanneer de onderzoekers toegang verleenden tot de “laptop”, die in feite een zwaar gemonitorde virtuele machine was, toonden de operaties geen poging om codekwetsbaarheden te exploiteren. In plaats daarvan concentreerden ze zich op het vestigen van hun aanwezigheid als ideale werknemers. Deze aanpak maakt duidelijk dat noordelijke cybercriminaliteit niet langer volstaat met brute kracht, maar moderne technieken gebruikt om te fungeren als een legitieme entiteit.
Eenmaal binnen de gecontroleerde omgeving demonstreerden de operaties een workflow die gericht was op het integreren in plaats van in te breken. Ze maakten gebruik van legitieme jobautomatiseringstools zoals Simplify Copilot en AiApply om verfijnde sollicitatie-antwoorden te genereren en aanvragen op schaal in te vullen. Dit gebruik van westerse productiviteitstools toont een zorgwekkende escalatie aan: staatsacteurs benutten AI-technologieën die oorspronkelijk zijn ontworpen om efficiënte wervingsprocessen te ondersteunen, om hun eigen doelen te ondermijnen.
De aanvallers leidden hun verkeer via Astrill VPN om hun locatie te verbergen en gebruikten browsergebaseerde diensten om codes voor twee-factor-authenticatie te beheren die verbonden zijn aan gestolen identiteiten. Hun einddoel was niet onmiddellijke destructie, maar langdurige toegang. De operaties configureerden Google Remote Desktop via PowerShell met een vast PIN, waardoor ze de controle over de machine konden behouden, zelfs als de host probeerde hun rechten in te trekken.
Hun commando’s waren administratief, gericht op het uitvoeren van systeemanalyse om de hardware te valideren. Dit legt de kern bloot van hun strategie: in plaats van onmiddellijke aanvallen op digitale portemonnees, zochten de Noord-Koreanen naar manieren om zichzelf op te stellen als vertrouwde insiders, strategisch gefocust op toegang tot interne repositories en clouddashboards.
Dit voorval past binnen een breder industrieel complexe dat werkgelegenheidsfraude tot een belangrijke inkomstenbron voor het gesanctioneerde regime heeft gemaakt. Onlangs schatte het Multilateral Sanctions Monitoring Team dat groepen verbonden aan Pyongyang tussen 2024 en september 2025 ongeveer $2,83 miljard aan digitale activa hebben gestolen. Dit bedrag vertegenwoordigt ongeveer een derde van Noord-Korea’s buitenlandse valutainkomsten, wat aanduidt dat cyberdiefstal een wezenlijk economisch beleid is geworden.
De effectiviteit van deze vorm van sociaal-engineering werd verwoestend bewezen tijdens de inbraak bij de Bybit-exchange in februari 2025. In dat geval gebruike n aanvallers, toebeschreven aan de TraderTraitor-groep, gecompromitteerde interne referenties om externe overboekingen te camoufleren als interne vermogensbewegingen, wat hen uiteindelijk toegang gaf tot een smart contract van een cold-wallet.
De verschuiving naar sociaal-engineering creëert een ernstige aansprakelijkheidscrisis voor de digitale activasector. Eerder dit jaar documenteerden beveiligingsfirma’s zoals Huntress en Silent Push netwerken van frontbedrijven, waaronder BlockNovas en SoftGlide, die beschikken over geldige Amerikaanse bedrijfsregistraties en geloofwaardige LinkedIn-profielen. Deze entiteiten slagen erin ontwikkelaars te verleiden om kwaadaardige scripts te installeren onder het mom van technische beoordelingen.
Voor compliance-officers en Chief Information Security Officers is de uitdaging veranderd. De traditionele Know Your Customer (KYC)-protocollen richten zich op de cliënt, maar het werkproces van de Lazarus-groep vereist een strengere „Know Your Employee”-norm. Het ministerie van Justitie is al begonnen met het aanpakken van deze IT-schema’s, en heeft $7,74 miljoen in beslag genomen, maar de detectietijd blijft hoog. Zoals het BCA LTD-sting-aangepaste toont, kan de enige manier om deze actoren te vangen zijn om van een passieve verdediging naar actieve misleiding te schakelen, door gecontroleerde omgevingen te creëren die dreigingsacteurs dwingen hun tactieken te onthullen voordat ze de sleutels tot de schatkist krijgen.
Wat kunnen investeerders leren van deze cyberoperaties?
Deze incidenten benadrukken het cruciale belang van het waarborgen van een robuuste beveiliging en due diligence in recruitmentprocessen om infiltratie door kwaadwillenden te voorkomen.
Hoe kan de sector zich beter beschermen tegen dergelijke aanvallen?
Een focus op zowel klant- als medewerkerkennis, evenals het implementeren van geavanceerde monitoringtools en trainingen voor medewerkers, is van vitaal belang voor effectieve verdediging.
Wat zijn de implicaties voor de regelgeving in de Europese cryptomarkt?
De verschuiving naar sociaal-engineering zal ongetwijfeld leiden tot strengere regulering en nog meer aandacht voor compliance-voorschriften, in een poging om de integriteit van de sector te waarborgen.
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
