Volgens een rapport van het Multilateral Sanctions Monitoring Team (MSMT) hebben hackers gelinkt aan Noord-Korea een verbluffende $2,83 miljard aan virtuele assets gestolen tussen 2024 en september 2025.
Het rapport benadrukt dat Pyongyang niet alleen uitblinkt in diefstal, maar ook geavanceerde methoden heeft om de illegale winsten te liquideren.
SponsoredHacking inkomsten voeden een derde van de buitenlandse valuta van het land
De MSMT is een multinationale coalitie van 11 landen, waaronder de VS, Zuid-Korea en Japan. Het werd opgericht in oktober 2024 om de uitvoering van VN-Veiligheidsraadsancties tegen Noord-Korea te ondersteunen.
Volgens de MSMT is de $2,83 miljard die van 2024 tot september 2025 is gestolen een cruciaal cijfer.
“De opbrengst van de virtuele assetdiefstal van Noord-Korea in 2024 bedroeg ongeveer een derde van de totale buitenlandse valuta-inkomsten van het land,” merkte het team op.
De schaal van diefstal is dramatisch versneld, met $1,64 miljard gestolen in 2025 alleen, wat een stijging van meer dan 50% betekent ten opzichte van de $1,19 miljard die in 2024 werd genomen, ondanks dat het cijfer van 2025 het laatste kwartaal niet omvat.
Sponsored SponsoredDe Bybit-hack en het TraderTraitor-syndicaat
De MSMT identificeerde de hacking van de wereldwijde exchange Bybit in februari 2025 als een belangrijke bijdrage aan de stijging van de illegale inkomsten in 2025. De aanval werd toegeschreven aan TraderTraitor, een van de meest geavanceerde hackorganisaties van Noord-Korea.
Het onderzoek onthulde dat de groep informatie verzamelde met betrekking tot SafeWallet, de multi-signature wallet provider die door Bybit werd gebruikt. Ze kregen vervolgens ongeautoriseerde toegang via phishing-e-mails.
Ze gebruikten kwaadaardige code om toegang te krijgen tot het interne netwerk en vermomden externe overboekingen als interne assetbewegingen. Dit stelde hen in staat om de controle over het smart contract van de cold wallet over te nemen.
De MSMT merkte op dat bij grote hacks in de afgelopen twee jaar Noord-Korea vaak de voorkeur geeft aan het aanvallen van externe dienstverleners die verbonden zijn met exchanges, in plaats van de exchanges zelf aan te vallen.
Het negen-stappen witwasmechanisme
De MSMT beschreef een nauwgezet negenstappen-witwasproces dat Noord-Korea gebruikt om de gestolen virtuele assets om te zetten in fiatvaluta:
1. Aanvallers wisselen gestolen assets voor cryptocurrencies zoals ETH op een Decentralized Exchange (DEX).
2. Ze ‘mixen’ de fondsen met behulp van diensten zoals Tornado Cash, Wasabi Wallet of Railgun.
3. Ze converteren ETH naar BTC via brugdiensten.
4. Ze verplaatsen de fondsen naar een cold wallet na passage door gecentraliseerde exchange-accounts.
5. Ze verspreiden de assets naar verschillende wallets na een tweede ronde van mixen.
6. Ze wisselen BTC voor TRX (Tron) met behulp van brug- en P2P-handel.
7. Ze converteren TRX naar de stablecoin USDT.
8. Ze transfereren de USDT naar een Over-the-Counter (OTC) broker.
9. De OTC broker liquideert de assets in lokale fiatvaluta.
Globaal netwerk faciliteert cash-out
De meest uitdagende fase is het omzetten van crypto in bruikbare fiat. Dit wordt bereikt met behulp van OTC-brokers en financiële bedrijven in derde landen, waaronder China, Rusland en Cambodja.
Sponsored SponsoredHet rapport noemde specifieke individuen. Deze omvatten de Chinese staatsburgers Ye Dinrong en Tan Yongzhi van Shenzhen Chain Element Network Technology en P2P-handelaar Wang Yicong.
Ze zouden hebben samengewerkt met Noord-Koreaanse entiteiten om valse ID’s te verstrekken en asset-witwassen te vergemakkelijken. Russische tussenpersonen waren ook betrokken bij de liquidatie van ongeveer $60 miljoen van de Bybit-hack.
SponsoredBovendien werd Huione Pay, een financiële dienstverlener onder Cambodja’s Huione Group, gebruikt voor het witwassen.
“Een Noord-Koreaanse staatsburger onderhield een persoonlijke relatie met medewerkers van Huione Pay en werkte met hen samen om virtuele assets eind 2023 te verzilveren,” verklaarde de MSMT.
De MSMT uitte in oktober en december 2024 zorgen bij de Cambodjaanse regering. Deze zorgen hadden betrekking op de activiteiten van Huione Pay ter ondersteuning van door de VN aangewezen Noord-Koreaanse cyberhackers. Als gevolg daarvan weigerde de Nationale Bank van Cambodja de betalingslicentie van Huione Pay te verlengen; het bedrijf blijft echter actief in het land.
