Crypto betaalplatform Bitrefill linkt hack aan Lazarus en Bluenoroff

Bitrefill maakt bekend dat het op 1 maart doelwit is van een gerichte cyberaanval waarbij aanvallers toegang krijgen tot een deel van de infrastructuur, bepaalde hot wallets en duizenden bestelgegevens. Volgens het crypto betaalplatform vertoont de aanval sterke overeenkomsten met eerdere operaties van Lazarus en Bluenoroff, groepen die gelinkt worden aan Noord Korea. Uit het onderzoek blijkt dat ongeveer 18.500 aankooprecords zijn geraadpleegd. Daarbij gaat het om onder meer e mailadressen, crypto adressen en metadata zoals IP adressen. Voor een kleiner deel van de bestellingen kan ook versleutelde naaminformatie zijn ingezien.

Aanval begint bij laptop van medewerker

De aanval start volgens Bitrefill met een gecompromitteerde laptop van een medewerker. Via dat apparaat weten de aanvallers een oude inlogcode buit te maken. Met die gegevens krijgen ze toegang tot een snapshot met productiegeheimen, waarna ze verder opschalen binnen de omgeving van het bedrijf. Zo komen ze uiteindelijk uit bij delen van de database en bij bepaalde cryptocurrency wallets, schrijft Bitrefill in een incidentrapport op X.

Het bedrijf merkt de inbraak op nadat er verdachte aankooppatronen bij sommige leveranciers verschijnen. Tegelijk ziet Bitrefill dat giftcard voorraden en aanvoerkanalen worden misbruikt, terwijl ook hot wallets worden leeggetrokken en fondsen richting adressen van de aanvallers vertrekken. Daarna haalt het platform al zijn systemen tijdelijk offline om de schade te beperken.

Ongeveer 18.500 bestelgegevens ingezien

Volgens Bitrefill zijn klantgegevens waarschijnlijk niet het hoofddoel van de aanval. Het bedrijf zegt geen bewijs te hebben dat de volledige database is buitgemaakt. Wel laten logs zien dat de aanvallers een beperkt aantal zoekopdrachten uitvoeren om te achterhalen welke data en welke activa beschikbaar zijn. Daarbij worden ongeveer 18.500 aankooprecords geopend.

Die records bevatten beperkte klantinformatie zoals e mailadressen, crypto betaaladressen en aanvullende metadata, waaronder IP adressen. Voor ongeveer 1.000 aankopen geldt dat klanten ook een naam moeten invullen voor specifieke producten. Die informatie staat versleuteld opgeslagen, maar omdat de aanvallers mogelijk ook encryptiesleutels in handen krijgen, behandelt Bitrefill deze gegevens als potentieel ingezien. Getroffen klanten in deze categorie hebben volgens het bedrijf al een e mail ontvangen.

Bitrefill zegt verliezen zelf op te vangen

Bitrefill laat weten dat klanten op dit moment geen directe actie hoeven te ondernemen, al adviseert het platform wel om extra alert te zijn op onverwachte berichten over Bitrefill of crypto. Verder werkt het bedrijf samen met security onderzoekers, incident response specialisten, on chain analisten en opsporingsdiensten om de aanval volledig in kaart te brengen.

Daarnaast scherpt Bitrefill de beveiliging verder aan met extra controles, strengere toegangsrechten, betere monitoring en uitgebreidere tests van noodprocedures. Het bedrijf stelt dat het financieel sterk genoeg is om de schade zelf te dragen. Volgens Bitrefill draaien betalingen, accounts en voorraden inmiddels grotendeels weer normaal en ligt ook het verkoopvolume opnieuw op het gebruikelijke niveau.

Bitrefill koppelt de aanval op basis van werkwijze, gebruikte malware, on chain tracing en hergebruikte IP adressen en e mailadressen aan patronen die eerder opduiken bij Lazarus en Bluenoroff. Zulke incidenten laten opnieuw zien waarom bescherming tegen crypto oplichting en beveiligingsrisico’s belangrijk blijft.

March 1st incident report On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation – including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) – we find many similarities…

— Bitrefill (@bitrefill) · March 17, 2026