Noord-Koreaanse infiltratie treft 1 op 5 crypto bedrijven

De crypto industrie heeft een serieus probleem dat veel groter is dan de meeste mensen beseffen. Volgens Pablo Sabbatella, lid van Security Alliance (SEAL) en oprichter van opsek, zijn Noord-Koreaanse infiltranten actief bij maar liefst 15% tot 20% van de crypto bedrijven. Tijdens Devconnect in Buenos Aires sloeg hij alarm:

“De situatie is veel erger dan mensen denken.”

Het gaat allang niet meer alleen om hacks of gestolen fondsen. Noord-Koreaanse actoren worden gewoon aangenomen bij crypto bedrijven, vaak via slimme trucjes zoals het gebruik van frontpersonen, gestolen identiteiten en remote access tools. Sabbatella stelt zelfs dat 30% tot 40% van de sollicitaties in de sector uit Noord-Korea komt, ook al weten bedrijven dat zelf meestal niet.

Recruiters en workers: een georganiseerde operatie

Wat begon als losse pogingen om werk te vinden op platforms zoals Upwork of Freelancer, is inmiddels uitgegroeid tot een goed geoliede machine. Uit een uitgebreid rapport van SEAL Intel blijkt dat Noord-Koreaanse IT werkers nu steeds vaker zelf optreden als recruiters. Ze benaderen mensen uit landen zoals Oekraïne of de Filipijnen met de vraag of ze hun account en identiteit mogen gebruiken. In ruil daarvoor krijgen ze 20% van de opbrengst, terwijl de Noord-Koreaanse partij 80% behoudt.

Via malware, remote desktop software zoals AnyDesk en identiteitsfraude verkrijgen deze actoren toegang tot internationale freelanceplatforms. Ze gebruiken accounts met een goede reputatie en opereren alsof ze legitieme ontwikkelaars zijn, vaak met behulp van scripts, AI gegenereerde profielfoto’s en goed voorbereide onboardingdocumenten.

Wat dit extra gevaarlijk maakt, is dat de meeste van deze ‘werknemers’ goed werk leveren. Ze zijn productief, klagen niet en leveren op tijd, wat maakt dat bedrijven ze meestal niet snel doorzien. Maar ondertussen hebben ze toegang tot belangrijke systemen, infrastructuur en gevoelige informatie.

Crypto blijft achter op het gebied van security

Sabbatella is duidelijk in zijn oordeel: “Crypto heeft de slechtste OPSEC in de hele IT sector.” Oprichters zijn volledig doxxed, houden private keys onveilig opgeslagen en trappen vaak in social engineering trucs. Daardoor is het voor kwaadwillenden relatief eenvoudig om toegang te krijgen tot projecten, infrastructuur en zelfs fondsen.

De dreiging gaat verder dan alleen geld. Volgens de Amerikaanse overheid is er meer dan $3 miljard aan crypto gestolen door Noord-Koreaanse hackers in de afgelopen drie jaar. Deze middelen worden vervolgens ingezet voor het kernwapenprogramma van het regime in Pyongyang.

Het rapport van SEAL benadrukt dat deze infiltraties steeds geraffineerder worden. Recruiters en workers werken samen via gedeelde scripts en workflows, wat erop wijst dat dit niet om individuele freelancers gaat, maar om een gecoördineerd netwerk. Dit vormt een toenemende bedreiging voor elk crypto project dat externe ontwikkelaars of freelancers in dienst neemt.

Bron: SEAL Intel rapport.

Lees ook: Claimfout bij OKX zorgt voor miljoenenwinst voor snelle wallets