Noord-Koreaanse hackers stelen 285 miljoen dollar na zes maanden vertrouwen opbouwen
Pyongyang, maandag, 6 april 2026.
Hackers uit Noord-Korea voerden maandenlang een gesofisticeerde social engineering-campagne uit. Ze bouwden vertrouwen op met ontwikkelaars van cryptoplatform Drift Protocol door zich voor te doen als een legitieme handelsfirma. De aanvallers stortten zelfs een miljoen dollar in het ecosysteem om geloofwaardig te blijven. Uiteindelijk gebruikten ze een kwetsbaarheid in VSCode en Cursor om malware te verspreiden. In enkele seconden draineerden ze 285 miljoen dollar van het platform. Deze aanval toont hoe geduld en menselijke manipulatie effectiever kunnen zijn dan traditionele hacking.
Bredere campagne richt zich op Nederlandse internetinfrastructuur
Deze aanval op Drift Protocol vormt onderdeel van een veel bredere Noord-Koreaanse cybercampagne die ook Nederland raakt. Op 31 maart 2026 kaapten dezelfde hackers het populaire Axios softwareproject door de computer van hoofdontwikkelaar Jason Saayman te infecteren [1]. Axios wordt door meer dan 3 miljoen gebruikers wereldwijd gebruikt, waaronder veel Nederlandse bedrijven die afhankelijk zijn van deze open source software [3]. De kwaadaardige updates waren drie uur online voordat ze werden ontdekt - genoeg tijd om Nederlandse servers en systemen te compromitteren [1]. Computers die de geïnfecteerde versie installeerden, kunnen privésleutels, wachtwoorden en bedrijfsgegevens hebben verloren [1]. Voor Nederlandse IT-afdelingen betekent dit een acute waarschuwing: controleer uw Axios-installaties onmiddellijk.
Maandenlange voorbereiding toont nieuwe tactieken
De Noord-Koreaanse hackergroep UNC1069 begon ongeveer twee weken voor 5 april 2026 met het targeten van Saayman [3]. Ze nodigden hem uit voor een videomeeting en lieten hem malware downloaden die zich voordeed als een noodzakelijke update [1]. Deze methode - waarbij hackers wekenlang vertrouwen opbouwen - wordt ook ingezet tegen andere prominente Nederlandse en internationale ontwikkelaars [3]. Socket CEO Feross Aboukhadijeh en meerdere engineers staan momenteel op hun doellijst [3]. “De operatie duurt weken en is opzettelijk ontworpen om onopvallend te lijken”, waarschuwt Socket [3]. Voor Nederlandse softwareontwikkelaars is de boodschap duidelijk: wees extra voorzichtig met onverwachte samenwerkingsverzoeken, zelfs van ogenschijnlijk professionele partijen.
Miljardenbusiness achter de aanvallen
Noord-Korea heeft duizenden hackers die systematisch cryptocurrency en data stelen om het sanctiegetroffen regime te financieren [1]. In 2025 alleen al stalen Noord-Koreaanse cybercriminelen minstens 2 miljard dollar aan cryptocurrency [1]. De groep gebruikt steeds geavanceerdere sociale manipulatietechnieken, inclusief persoonlijke ontmoetingen met doelwitten [4]. Ze misbruiken ook GitHub repositories en Windows-snelkoppelingen om Nederlandse systemen binnen te dringen via PowerShell-scripts [2][6]. Voor Nederlandse cryptocurrency-exchanges en DeFi-platforms betekent dit verhoogde alertheid. Het Kim Jong Un-regime zet deze digitale roof in om internationale sancties te omzeilen die zijn opgelegd vanwege het kernwapenprogramma [1]. Nederlandse bedrijven moeten hun cybersecurity nu aanscherpen - de volgende aanval kan Nederland rechtstreeks treffen.
Bronnen
- techcrunch.com
- www.csoonline.com
- www.securityweek.com
- rodtrent.substack.com
- www.instagram.com
- thehackernews.com
- www.ccn.com