Noord-Korea hackt niet meer alleen digitaal: Drift-aanval begon op conferentievloer

In dit artikel:

Onderzoek van blockchain‑analysebedrijf TRM Labs onthult dat de hack op de gedecentraliseerde beurs Drift — waarbij circa 285 miljoen dollar werd buitgemaakt — begon met klassieke face‑to‑face misleiding in plaats van uitsluitend digitale aanvallen. Gedurende ongeveer zes maanden poseerden de daders op internationale crypto‑conferenties als een professioneel handelsbedrijf, bouwden persoonlijk vertrouwen op met medewerkers van Drift en infiltreerden zo het netwerk van de beurs.

Met dat vertrouwen lanceerden de aanvallers vervolgens een technische operatie: ze creëerden een nep‑token (CarbonVote Token), manipuleerden handelsvolume om het token geloofwaardig te doen lijken en lieten het platform het token als onderpand accepteren. Door daaropvolgend opname‑limieten te verhogen konden zij ongeveer 285 miljoen dollar wegslepen. TRM noemt het witwasproces sneller en agressiever dan bij eerdere grote incidenten zoals de Bybit‑roof van eerder dit jaar.

De werkwijze past volgens TRM en andere bronnen in een breder patroon van statelijke cybergroepen — met name Noord‑Koreaanse netwerken — die lange termijn infiltratie combineren met grootschalige hacks. Die groepen treden vaak op als ontwikkelaars of werknemers, gebruiken valse identiteiten, draaien banen bij technologiebedrijven en routen hun activiteiten via computers in andere landen om detectie te bemoeilijken. De Verenigde Naties waarschuwen dat opbrengsten uit zulke aanvallen mede worden ingezet ter financiering van Noord‑Koreaanse wapensystemen.

Belangrijke les voor de cryptosector: beveiliging stopt niet bij code en sleutelbeheer. Sociale engineering en persoonlijk contact zijn inmiddels onderdeel van het dreigingslandschap. Bedrijven moeten medewerkers trainen om ook offline waakzaam te blijven en beleidsmaatregelen op conferenties en bij personeelscontacten aanscherpen, omdat netwerken en infiltratie steeds moeilijker van elkaar te onderscheiden zijn.