Noord-Korea maakt de laatste tijd gebruik van valse Zoom-oproepen met AI om profielen uit de cryptovalutasector te misleiden en hun portemonnee binnen enkele minuten leeg te halen. Hoe kan een eenvoudige videoconferentie voldoende zijn om de volledige controle over uw apparaten over te nemen en zelfs de waakzaamheid van de meest ervaren gebruikers te omzeilen?
Een grootschalig programma met als doel de overheidsrekeningen te spekken
Sinds begin 2020 voert Noord-Korea een wereldwijde operatie uit om bedrijven te infiltreren met behulp van zijn leger van “valse telewerkers” in het kader van een programma om inkomsten te genereren voor de regering. Het lijkt erop dat een deel van deze arbeidskrachten onlangs is overgeplaatst naar een geheel nieuwe social engineering-campagne, ditmaal gericht op de cryptovalutasector.
🚨 WAARSCHUWING (OPNIEUW)
DPRK-dreigingsactoren maken nog steeds veel te veel van jullie kapot via hun nep-Zoom-/nep-Teams-bijeenkomsten.
Ze nemen jullie Telegrams over -> en gebruiken die om al jullie vrienden kapot te maken.
Ze hebben op deze manier al meer dan 300 miljoen dollar gestolen.
Lees dit. Doorbreek de cyclus. 🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 13 december 2025
Onlangs is er bijna 300 miljoen dollar gestolen, aldus Taylor Monahan (beter bekend onder de pseudoniem Tayvano), beveiligingsonderzoeker bij MetaMask.
De werkwijze is vrij bekend en gedocumenteerd, aangezien Microsoft Threat Intelligence deze activiteiten sinds 2024 observeert. De aanvaller begint met het stelen van een coherent en legitiem profiel op basis van het beoogde doelwit. Vervolgens creëert hij een heel digitaal ecosysteem rond dit gestolen profiel (messaging, sociale netwerken, GitHub- of LinkedIn-profielen) om een legitieme digitale voetafdruk te creëren.
Vervolgens wordt kunstmatige intelligentie (AI) gebruikt om de afbeelding van hun bronprofiel toe te voegen aan afbeeldingen en video’s die hun doel dienen. Ze gebruiken ook VPN’s, VPS’en, proxyservices en RMM-tools om hun geolocatie en hun echte digitale identiteit te verbergen.
Dit werd onlangs ook bevestigd door Clarisse Hagège, oprichtster van Dfns, die ons vertelde dat ze het doelwit was geweest van een poging tot inbraak door drie Noord-Koreaanse hackers.
Ze benadrukt bovendien dat de cryptovalutasector een favoriet doelwit is in de strategie van Noord-Korea. Luister naar ons volledige interview in onze podcast:
Kandidaten moeten minstens drie referenties van hun vorige werkgevers opgeven. Mensen vergeten dat vaak te doen, maar het werkt heel goed.
Een social engineering-campagne die gebruikmaakt van platforms zoals Teams of Zoom
Deze strategie wordt vandaag de dag hergebruikt en gericht op nieuwe doelstellingen. Zoals Taylor Monahan beschrijft, vindt de aanval zijn oorsprong in de corruptie van een legitiem Telegram-account. Deze doelaccounts zijn vaak durfkapitaalinvesteerders of sprekers, profielen die onze autoriteitsbias kunnen uitbuiten.
Nadat ze de gespreksgeschiedenis van hun eerste slachtoffer zorgvuldig hebben geanalyseerd om hun verhaal te onderbouwen, maken ze gebruik van de reeds gelegde contacten. Deze worden via een vermomde Calendly-link naar Zoom- of Teams-vergaderingen geleid.
🇰🇵 In het nieuws – Noord-Korea zou achter de hack van 30 miljoen dollar bij Upbit zitten
Op de video communiceert het slachtoffer met een gerecyclede opname van een podcast of een openbaar optreden van de autoriteit. Dankzij een slim gebruik van AI lijkt de videostream legitiem.
De aanvaller simuleert vervolgens audio- of videoproblemen. Hij vraagt zijn slachtoffer om een SDK te downloaden waarmee hij de verbinding kan herstellen. Deze laatste implementeert een kwaadaardig script en installeert malware op de computer van het doelwit. Deze trojan geeft volledige controle over de computer van het slachtoffer, waardoor de aanvaller volledige toegang krijgt tot de wallets van het doelwit.
Versterk uw operationele beveiliging en wees waakzaam
Om u tegen dit soort bedreigingen te beschermen, is het van essentieel belang dat u beschikt over een sterke authenticatie (sterk wachtwoord) en meervoudige authenticatie (MFA- en 2FA-applicatie) op uw communicatieapplicaties.
Het is ook belangrijk om te onthouden dat u tijdens een gesprek met uw gesprekspartner moet weten wie u schrijft (authenticiteit), dat u moet weten dat wat hij u schrijft niet is gewijzigd (authenticiteit) en dat u ervoor moet zorgen dat niemand anders weet wat u hebt uitgewisseld (vertrouwelijkheid).
Download bovendien nooit gegevenspakketten als u niet zeker bent van de integriteit en legitimiteit ervan. Als dat niet het geval is, kunt u ze openen in een speciale virtuele machine om de inhoud te controleren.
Tot slot, als uw Telegram-account is gehackt, verwijder dan uw account en waarschuw uw contacten om hen op de hoogte te brengen en de keten van oplichting te doorbreken.
Wees waakzaam en houd in gedachten dat uw antropologische functioneren u blootstelt aan cognitieve vooroordelen (autoriteitsvooringenomenheid, vertrouwdheidsvooringenomenheid, urgentievooringenomenheid…). Wanneer deze worden uitgebuit, bent u waarschijnlijk ten prooi gevallen.
