De beruchte Lazarus Group uit Noord-Korea haalde begin 2025 wereldwijd het nieuws. Op 21 februari werd Bybit — een van de grootste crypto-exchanges — slachtoffer van een cyberaanval waarbij ruim $1,4 miljard aan crypto werd buitgemaakt. Wat bleek? De hackers hadden zich hier maandenlang op voorbereid.

Een opvallende stilte in 2024

In de tweede helft van 2024 werd het ineens stil rondom Noord-Koreaanse cyberaanvallen. Terwijl de eerste helft van dat jaar nog vol zat met incidenten, leek het aantal hacks plots te kelderen. Volgens blockchainbedrijf Chainalysis was dit geen toeval.

Eric Jardine, cybercrime-onderzoeker bij Chainalysis, vermoedt dat de rustperiode samenhing met een top tussen Noord-Korea en Rusland. Er zouden mensen en middelen zijn verplaatst richting de oorlog in Oekraïne. Maar volgens hem is er meer aan de hand:

“Die terugval in hacks kan ook gewoon een bewuste hergroepering zijn geweest. Nieuwe doelwitten zoeken, infrastructuur verkennen, plannen maken.”

Die strategie wierp in ieder geval zijn vruchten af. Want in februari sloegen de hackers genadeloos toe.

Zo gingen de hackers te werk

De aanval op Bybit begon met een slimme truc. De hackers wisten toegang te krijgen tot een zogenoemde multisig cold wallet op Ethereum. Dat is normaal gesproken een veilige, offline opslagplek waarbij meerdere mensen een transactie moeten goedkeuren.

Maar de Lazarus Group manipuleerde een transactie zó, dat de ondertekenaars nietsvermoedend akkoord gingen met een aanpassing in de slimme contractcode. Die aanpassing gaf de hackers volledige controle over de wallet. Daarna werd de inhoud — duizenden ETH — overgemaakt naar een onbekend adres.

In 10 dagen alles witgewassen

Binnen tien dagen hadden de hackers al het gestolen geld witgewassen via THORChain, een platform waarmee je crypto kunt omwisselen tussen verschillende blockchains. Toch is nog niet alles verloren: volgens Chainalysis is meer dan 80% van de gestolen crypto nog te traceren, en zijn de pogingen om het terug te halen nog in volle gang.

Lazarus liet eerder al zijn sporen na

De Lazarus Group is geen onbekende in de cryptowereld. In 2024 alleen al zouden Noord-Koreaanse hackers meer dan $1,3 miljard aan digitale activa hebben gestolen, verspreid over 47 verschillende aanvallen. Dat is meer dan het dubbele van wat ze in 2023 wisten buit te maken.

Volgens analisten lijkt de aanval op Bybit in opzet op eerdere hacks, zoals die op WazirX ($230 miljoen) en Radiant Capital ($58 miljoen). De les? Zelfs grote exchanges met sterke beveiliging zijn niet onkwetsbaar.