Hackers uit Noord-Korea die gelinkt kunnen worden aan de beruchte Lazarus Group zitten naar verluidt achter een massale phishing-campagne die gericht is op Non-Fungible Token (NFT)-investeerders. Naar verluidt wordt hierbij gebruik gemaakt van bijna 500 phishing-domeinen om slachtoffers te misleiden.
NFT’s stelen via lokwebsites
Dit heeft het blockchain-beveiligingsbedrijf SlowMist bekend gemaakt in een nieuw gelanceerd rapport, waarin de tactieken onthuld zijn die de Noord-Koreaanse ‘Advanced Persistent Threat’ (APT)-groepen hebben gebruikt om NFT’s te stelen van NFT-investeerders. Hieronder vallen onder andere lokwebsites die vermomd zijn als een verscheidenheid aan NFT-gerelateerde platforms en -projecten.
Een voorbeeld van zo’n website is één die die zich voordoet als een project dat verband houdt met het WK. Er zijn echter ook van deze nep websites die zich voordoen als bekende NFT-marktplaatsen zoals OpenSea, X2Y2 en Rarible. Het is benoemingswaardig dat deze websites vaak erg goed nagemaakt zijn, waardoor het lastig kan zijn om ze van de echte te onderscheiden.
Volgens het blockchain-beveiligingsbedrijf is één van de gebruikte tactieken om deze lokwebsites “kwaadaardige pepermuntjes” te laten aanbieden. Dit houdt in dat de slachtoffers misleid worden door te denken dat ze een legitieme NFT slaan door hun wallet aan de website te koppelen. Vervolgens wordt echter hun hele wallet leeggetrokken door de hacker(s).
Ook andere tactieken ingezet
Het is benoemingswaardig dat veel van de websites onder hetzelfde internetprotocol (ip) werken. Naar verluidt zouden er 372 NFT-phishing-websites onder één enkel IP-adres hebben gewerkt en hiernaast nog eens 320 NFT-phishing-websites die aan een ander IP-adres waren gekoppeld.
De websites zijn in enkele maanden live geweest en de domeinen zijn 7 maanden geleden geregistreerd. Naast de phishing-websites zijn ook andere tactieken ingezet om de NFT’s te stelen. Deze andere tactieken die werden gebruikt, waren onder andere het vastleggen van bezoekersgegevens en het opslaan ervan op externe sites, evenals het koppelen van afbeeldingen aan doelprojecten.
Nadat de hacker(s) de gegevens van de bezoeker wisten te bemachtigen, zouden ze diverse aanvalsscripts op het slachtoffer hebben uitgevoerd. Hierdoor wisten de hackers toegang te krijgen tot onder andere de toegangsgegevens, autorisaties, het gebruik van plug-in-wallets en gevoelige gegevens van het slachtoffer zoals het goedkeuringsdossier van het slachtoffer en sigData. Met deze data kan de hacker vervolgens toegang krijgen tot de wallets van de slachtoffers. Deze wallets werden vervolgens leeggetrokken.
Topje van de ijsberg
Volgens SlowMist zou dit echter slechts het “topje van de ijsberg” kunnen zijn. Dit gezien het feit dat de analyse slechts naar een klein deel van het materiaal heeft gekeken en slechts enkele van de phishing-kenmerken van de Noord-Koreaanse hackers eruit haalde. In zijn totaliteit is er naar verwachting dus veel meer gestolen dan het rapport nu aangeeft.
SlowMist benadrukte bijvoorbeeld dat slechts één phishing-adres alleen al in staat was om 1.055 NFT’s te winnen en 300 Ethereum (ETH), ter waarde van circa $367.000 (€345.000), te verdienen door middel van de phishing-tactieken. Hier voegde ze tot slot nog aan toe dat dezelfde Noord-Koreaanse APT-groep ook verantwoordelijk was voor de phishing-campagne van Naver die eerder op 15 maart door Prevailion was gedocumenteerd. Ook hier wisten de hackers voor een aanzienlijk bedrag in crypto’s te stelen.
Bitcoin-fortuin van drugsdealer belandde bij het afval, tot Europol ingreep
Ierse autoriteiten halen 1.500 Bitcoin uit verloren wallets van drugsdealer en roepen daarmee nieuwe vragen op over private keys.
Hoe een telefoontje uitmondde in 8 miljoen aan cryptolosgeld
Volgens de openbaar gemaakte aanklacht begon de cyberaanval in mei 2025 met een vorm van social engineering.
Polymarket vergoedt gebruikers na phishingaanval door beveiligingslek bij externe leverancier
Polymarket is getroffen door een cyberaanval waarbij aanvallers via een beveiligingslek bij een externe leverancier een phishingaanval uitvoerden.
Meest gelezen
Van lasser tot kok: SpaceX maakt 4.400 werknemers miljonair
De beursgang van SpaceX maakt duizenden werknemers miljonair. Van lassers tot ingenieurs profiteren zij van jarenlang opgebouwde aandelen.
Ex Google-engineer verkoopt al zijn Bitcoin: ‘Het is voorbij’
Oud-Google-engineer TechLead verkocht al zijn Bitcoin met fors verlies. Volgens hem is de markt kwetsbaar, maar hij blijft op lange termijn positief.
Dit is waarom Bitcoin, goud en zilver tegelijk onderuit gaan
Bitcoin, maar ook goud en zilver zetten al langere tijd droevige resultaten neer, terwijl Wall Street wél stijgt. Wat speelt er precies?
