Noord-Koreaanse hackers stelen recordbedrag aan crypto in 2025

Een nieuwe analyse van blockchainonderzoekers werpt een opvallend licht op de rol van Noord-Korea in de wereld van digitale criminaliteit. Het afgelopen jaar blijkt daarbij een kantelpunt te markeren in hoe cyberaanvallen op cryptobedrijven worden uitgevoerd.

Noord-Korea steelt recordbedrag aan crypto in 2025

Hackers gelinkt aan Noord-Korea hebben in 2025 voor een recordbedrag van 2 miljard dollar aan cryptovaluta buitgemaakt. Dat blijkt uit een nieuw rapport van blockchain-analysebedrijf Chainalysis. Het bedrag ligt 51 procent hoger dan in 2024 en is het hoogste ooit geregistreerd.

Sinds 2016 hebben Noord-Koreaanse groepen daarmee naar schatting 6,75 miljard dollar aan crypto gestolen. Wat opvalt: het aantal aanvallen daalde, maar de schade per incident steeg explosief. De grootste slag viel in maart bij de hack op cryptobeurs Bybit, goed voor 1,4 miljard dollar aan verliezen.

In totaal werd er in 2025 voor 3,4 miljard dollar aan crypto gestolen. Drie megahacks waren samen goed voor bijna 60 procent van dat totaal. De cijfers tonen hoe één succesvolle aanval voldoende kan zijn om de jaartotalen te domineren.

De bekendste en meest gevreesde hackergroep uit Noord-Korea is de Lazarus Group. Deze groep opereert onder direct toezicht van de Noord-Koreaanse inlichtingendienst en speelt een centrale rol in het financieren van het regime, onder meer voor het nucleaire programma.

Lazarus wordt verantwoordelijk gehouden voor meerdere grote cyberaanvallen, waaronder de beruchte hack op Bybit. 

Noord-Korea voert meeste aanvallen op cryptodiensten uit

Volgens Chainalysis was Noord-Korea verantwoordelijk voor maar liefst 76 procent van alle zogeheten service-level hacks in 2025. Dat zijn aanvallen op grote, gecentraliseerde cryptodiensten zoals beurzen of bewaarinstellingen. Zulke aanvallen zijn zeldzaam, maar bijzonder verwoestend wanneer ze slagen.

De strategie van Pyongyang is duidelijk: minder vaak toeslaan, maar dan groots. Noord-Koreaanse groepen kiezen voor een paar doelwitten met maximale impact, in plaats van vele kleine aanvallen.

Ook het witwassen van de buit verloopt volgens een vast en gestructureerd patroon. De gestolen fondsen worden meestal binnen 45 dagen verplaatst via een route die Noord-Korea al jaren gebruikt.

Het geld wordt verdeeld in kleinere bedragen van minder dan 500.000 dollar. Die worden vervolgens via een complex netwerk van Chinese brokers, brugdiensten tussen blockchains en zogeheten mixers (die transacties verhullen) rondgestuurd. Zo hopen de hackers detectie te voorkomen.

Volgens Chainalysis wijst de precisie en snelheid waarmee fondsen worden witgewassen op de inzet van kunstmatige intelligentie (AI). AI zou de workflow versnellen en verfijnen, waardoor Noord-Koreaanse hackers effectiever kunnen opereren op grote schaal.