Aan Noord-Korea gelinkte operatoren hebben zich jarenlang onopgemerkt geïntegreerd in cryptobedrijven en DeFi-teams, wat nieuwe zorgen oproept over insiderrisico na een reeks high-value exploits die gekoppeld zijn aan het cyberapparaat van het land.
Beveiligingsonderzoeker en MetaMask-ontwikkelaar Taylor Monahan stelde dat deze tactieken teruggaan tot de begindagen van gedecentraliseerde financiën, waarbij personen gelinkt aan de Democratische Volksrepubliek Korea hebben bijgedragen aan verschillende veelgebruikte protocollen.
“Veel IT-medewerkers van de DPRK hebben de protocollen gebouwd die je kent en waar je van houdt, helemaal teruggaand tot de 'DeFi Summer'," zei ze zondag, eraan toevoegend dat meer dan 40 platforms, waaronder verschillende bekende projecten, op enig moment afhankelijk zijn geweest van dergelijke ontwikkelaars.
Ze merkte echter op dat de “zeven jaar blockchain dev-ervaring” op hun CV's “geen leugen” is.
Onderzoekers hebben Noord-Korea’s cyberoperaties al lang in verband gebracht met de Lazarus Group, een door de staat gesteund collectief waarvan wordt aangenomen dat het sinds 2017 ongeveer $7 miljard aan digitale activa heeft gestolen, volgens analisten van R3ACH.
De groep is geassocieerd met enkele van de grootste datalekken in de industrie, waaronder de $625 miljoen kostende Ronin Bridge exploit in 2022, de $235 miljoen WazirX hack in 2024, en het $1.4 miljard Bybit incident in 2025.
De $280 miljoen kostende exploit van Drift Protocol van vorige week heeft hernieuwde aandacht getrokken. Het project stelde dat het "middelhoog vertrouwen" had dat een aan de Noord-Koreaanse staat gelieerde groep achter de aanval zat, en koppelde het incident aan een breder patroon van infiltratie en social engineering.
De persoonlijke ontmoetingen die aan het datalek voorafgingen, waren echter niet met Noord-Koreaanse staatsburgers, maar eerder met “tussenpersonen van derden” die gebruik maakten van “volledig geconstrueerde identiteiten inclusief arbeidsverleden, openbare referenties en professionele netwerken.”
Deze profielen omvatten arbeidsverleden, openbare referenties en actieve professionele netwerken, waardoor ze vertrouwen konden opbouwen via persoonlijke interacties voordat de exploit plaatsvond.
Onafhankelijk blockchain-onderzoeker ZachXBT heeft in een recent X-bericht gewaarschuwd dat niet alle bedreigingen die aan Noord-Korea zijn gekoppeld op hetzelfde niveau van geavanceerdheid opereren.
“Het voornaamste probleem is dat iedereen ze allemaal op één hoop gooit, terwijl de complexiteit van de bedreigingen verschilt," zei hij.
Hij beschreef veel infiltratiepogingen als relatief eenvoudig, waarbij ze eerder op volharding dan op technische complexiteit vertrouwden. Benaderingen via vacatures, LinkedIn, e-mail, Zoom-gesprekken en sollicitatieprocedures blijven gebruikelijk.
“Basis en geenszins geavanceerd […] het enige eraan is dat ze meedogenloos zijn," zei hij, eraan toevoegend dat teams die in 2026 nog steeds voor dergelijke tactieken vallen, het risico lopen als nalatig te worden beschouwd.
