Deepfake-aanvallen door Noord-Koreaanse hackers bedreigen crypto-industrie

Een Noord-Koreaanse hackersgroep gebruikt kunstmatige intelligentie, deepfakes en nieuwe malware om cryptobedrijven aan te vallen. Experts slaan alarm.

De aanvallen richten zich op bedrijven en investeerders in de Web3-sector en worden steeds moeilijker te herkennen. Dat blijkt uit een nieuw rapport van Mandiant, onderdeel van Google Cloud. Volgens het cybersecuritybedrijf is de dreiging de afgelopen maanden sterk toegenomen.

Nieuwe malwarefamilies in omloop

Onder de codenaam UNC1069 beschrijft Mandiant een professionele hackersgroep die in één campagne zeven nieuwe soorten malware inzet. Het gaat onder andere om tools als SILENCELIFT, DEEPBREATH en CHROMEPUSH.

Deze programma’s zijn ontworpen om beveiliging te omzeilen en inloggegevens en systeemdata te stelen. Vooral CHROMEPUSH en DEEPBREATH zijn volgens Mandiant in staat om diep in besturingssystemen door te dringen.

Deepfake-vergaderingen misleiden slachtoffers

Opvallend is het gebruik van deepfake-video’s tijdens nepvergaderingen via Zoom. In een van de aanvallen werd een slachtoffer benaderd via het gecompromitteerde Telegram-account van een bekende crypto-oprichter. Tijdens het Zoomgesprek werd een AI-gegenereerde video getoond waarin de spreker zogenaamd last had van audioproblemen.

Daarbij werd het slachtoffer gevraagd om ‘probleemoplossende’ commando’s uit te voeren op zijn computer. In werkelijkheid startte dit de installatie van malware. Deze methode wordt een ClickFix-aanval genoemd.

AI maakt aanvallen geloofwaardiger

Volgens Mandiant wordt de groep al sinds 2018 gevolgd. Sinds eind 2025 maken de aanvallers gebruik van AI-technologie om hun methodes te verfijnen en op te schalen. Daarmee kunnen zij realistische digitale identiteiten en videobeelden creëren, wat het voor slachtoffers lastiger maakt om fraude te herkennen.

Cryptosector opnieuw doelwit van Noord-Korea

De cryptosector is al jaren een belangrijk doelwit voor Noord-Koreaanse groepen vanwege de digitale aard en hoge waarde van crypto. In juni 2025 werkten vier Noord-Koreaanse agenten onder valse identiteiten als freelance ontwikkelaars bij cryptobedrijven, waar zij voor 900.000 dollar aan crypto buitmaakten.

Eerder werd de beruchte Lazarus Group gelinkt aan de hack op cryptobeurs Bybit, waarbij ongeveer 1,4 miljard dollar werd gestolen – een van de grootste cryptodiefstallen ooit.

Druk op cybersecurity in fintech neemt toe

De bevindingen van Mandiant laten zien dat traditionele beveiliging vaak tekortschiet bij moderne aanvallen. Vooral de combinatie van technische malware en psychologische trucs maakt het lastig om deze dreigingen tijdig te detecteren.

Voor cryptobedrijven is het cruciaal om medewerkers te trainen in het herkennen van social engineering en systemen actief te monitoren. AI maakt aanvallen geraffineerder – en daarmee gevaarlijker.