Noord-Koreaanse hackers stalen in 2025 $2 miljard aan crypto

• DPRK-hackers stalen $2 miljard aan crypto in 2025, een stijging van 51% ondanks minder aanvallen.
• Aanvallers verschoven van volumecampagnes naar precisieaanvallen op exchanges met hoge waarde.
• Ethereum Foundation identificeerde 100 DPRK-actoren die waren geïnfiltreerd in crypto-wervingspijplijnen.

Noord-Koreaanse staatsgerelateerde hackers stalen in 2025 meer dan $2 miljard aan cryptocurrency, een stijging van 51% ten opzichte van het vorige jaar, aldus een nieuw dreigingsrapport van cyberbeveiligingsbedrijf CrowdStrike. Het meest opvallende detail is niet het bedrag zelf, maar hoe dit bedrag tot stand is gekomen.

Het aantal aanvallen daalde, terwijl het succespercentage per aanval dramatisch steeg. Aan DPRK gelieerde groepen zijn overgestapt van grootschalige campagnes naar minder, maar zorgvuldig gerichte operaties tegen exchanges met hoge waarde en Web3-protocollen. 

Waarom Crypto het Doelwit Is

De analyse van CrowdStrike is duidelijk over waarom de cryptovalutasector specifiek Noord-Koreaanse staatsactoren aantrekt. Gestolen fondsen kunnen worden omgezet en verplaatst met aanzienlijk meer anonimiteit dan vergelijkbare diefstallen uit traditionele banksystemen. De opbrengsten worden vrijwel zeker witgewassen om de militaire programma's van het land te financieren.

De financiële dienstensector is nu wereldwijd de vierde meest aangevallen sector voor cyberaanvallen, aldus hetzelfde rapport. Binnen die categorie hebben crypto-exchanges en Web3-infrastructuur de hoogste combinatie van liquiditeit en exit-liquiditeit, waardoor ze de meest efficiënte doelwitten zijn voor staatsactoren die op grote schaal opereren.

De Infiltratie Is Doorgedrongen in de Wervingspijplijn

De meest zorgwekkende ontwikkeling in het rapport is hoe aanvallers überhaupt toegang krijgen tot cryptoprojecten. Traditionele perimeterbeveiliging is niet langer het zwakke punt. De wervingspijplijn is dat wel.

In april 2025 identificeerde de Ethereum Foundation 100 door DPRK gesteunde individuen die cryptoprojecten direct hadden geïnfiltreerd, doorgaans als externe medewerkers ingebed in ontwikkelaarsteams. De Drift Protocol-zaak is het meest opvallende voorbeeld. Aan DPRK gelieerde technologiemedewerkers ontmoetten het Drift Protocol-team op een grote cryptocurrency-brancheconferentie en bouwden een werkrelatie van zes maanden op voordat de inbreuk werd geïdentificeerd.

Onchain-onderzoeker ZachXBT heeft vergelijkbare infiltratiepatronen bij meerdere bedrijven gevolgd, wat suggereert dat het Drift-incident geen geïsoleerd geval was, maar deel uitmaakte van een gecoördineerde strategie.

Hoe de Operatie Zich Heeft Ontwikkeld

CrowdStrike beschrijft de operationele structuur als significant gerijpt. Aan DPRK gelieerde groepen opereren nu via gedistribueerde aannemers en tussenpersoonnetwerken die specifiek verbonden zijn aan de cryptosector. Deze gedecentraliseerde aanpak vergroot de veerkracht en maakt snellere aanpassing aan beveiligingsupgrades van platformen mogelijk.

De afhankelijkheid van externe bijdragers, open ontwikkelomgevingen en wereldwijde uitbesteding in Web3 is een structureel kwetsbaarheid geworden. Elke externe ontwikkelaar is een potentieel toegangspunt. Elke aannemer die wordt ingewerkt is een potentiële inbreuk.

Wat de Industrie Hieraan Doet

Beveiligingsteams bij grote cryptoplatformen verhogen monitoring- en verificatiemaatregelen gedurende het inwerkproces en de codebijdrageprocessen. Achtergrondcontroles worden uitgebreid. Identiteitsverificatie wordt gelaagd. Code-commits van nieuwe bijdragers worden agressiever gecontroleerd.

De uitdaging is dat DPRK-actoren hun technieken tegelijkertijd blijven aanpassen. Naarmate beveiligingsteams de wervingspijplijn aanscherpen, verfijnen dreigingsactoren hun verhalen, professionele netwerken en social engineering-tactieken om de nieuwe controles te omzeilen.

Gerelateerd: CertiK-rapport toont aan dat Noord-Koreaanse hackers $1,1 miljard aan crypto stalen in 2026