Een recent rapport onthulde de enorme schaal van door de Noord-Koreaanse overheid gesteunde misdaad met cryptocurrency.
Cybercriminelen voor de Democratische Volksrepubliek Korea (DPRK) bevestigden zichzelf als een geavanceerde aanhoudende bedreiging voor de cryptocurrency-industrie in 2021, meldde Chainalysis.
Volgens het op blockchain gebaseerde dataplatform dat de overheid en particuliere sectoren ondersteunt bij het opsporen en voorkomen van illegaal gebruik van cryptocurrencies, hebben Noord-Koreaanse hackers vorig jaar voor 400 miljoen dollar aan crypto gestolen, terwijl het bedrag van de totale onrechtmatig verkregen fondsen een all-time high (ATH) heeft bereikt.
“Lazarus Group “
Noord-Koreaanse hackers hebben ten minste zeven aanvallen op cryptocurrency-platforms uitgevoerd, waarbij in 2021 voor bijna 400 miljoen dollar aan crypto’s is onttrokken.
Terwijl, vergeleken met 2020, het aantal aanvallen van vier naar zeven sprong, groeide de onttrokken waarde met 40%.
Noord-Koreaanse hacks in de tijd (Chainalysis)
Om geld over te hevelen van de “hot wallets” van deze organisaties naar door de DVK gecontroleerde adressen, gebruikten cybercriminelen phishing-lokkers, exploits van codes, malware en geavanceerde social engineering. 
Zodra Noord-Korea de gestolen crypto in handen kreeg, gebruikten ze zorgvuldige witwastactieken om de fondsen te verbergen en te verzilveren.
“Deze complexe tactieken en technieken hebben ertoe geleid dat veel beveiligingsonderzoekers cyberactoren voor de DVK karakteriseren als geavanceerde aanhoudende bedreigingen (APT’s),” merkte het rapport op, eraan toevoegend dat dit met name geldt voor APT 38, alias de “Lazarus Group,” geleid door de belangrijkste inlichtingendienst van de DVK, het door de VS en de VN gesanctioneerde Reconnaissance General Bureau.
Vanaf 2018 stal en witwaste de Lazarus Group elk jaar enorme bedragen aan cryptocurrencies-typisch meer dan 200 miljoen dollar.
“De meest succesvolle individuele hacks, een op KuCoin en een andere op een niet nader genoemde cryptocurrency-uitwisseling, leverden elk alleen al meer dan 250 miljoen dollar op,” leest het rapport, waarbij wordt opgemerkt dat de inkomsten uit de hacks volgens de VN-veiligheidsraad Noord-Korea’s WMD- en ballistische raketprogramma’s ondersteunen.
Laundering proces
In 2021 was Ethereum, in termen van dollarwaarde, voor het eerst goed voor de meerderheid van de door DVK gestolen crypto, terwijl Bitcoin slechts 20% voor zijn rekening nam, en ERC-20 tokens en altcoins goed waren voor 22% van de fondsen.
Aandeel gestolen cryptogelden per munttype in de tijd (Chainalysis)
De groeiende variëteit aan gestolen cryptocurrencies leidde tot de toegenomen complexiteit van het crypto-witwassen door de DVK, volgens Chainalysis, dat het verfijnde proces in verschillende stappen opsplitste en in 2021 een toegenomen gebruik van ‘mixers’ bij Noord-Koreaanse hackers waarnam.
Deze softwaretools stellen hackers in staat om cryptocurrencies van duizenden adressen te poolen en te shuffelen en het traceren van transacties enorm te bemoeilijken.
Chainalysis legde de momenteel gebruikte tactieken uit op basis van een van de aanvallen van de afgelopen jaren – resulterend in $91,35 miljoen aan crypto’s die werden witgewassen.
In augustus meldde Liquid.com dat een ongeautoriseerde gebruiker toegang had gekregen tot enkele van de wallets die door de crypto exchange werden beheerd. Bij de aanval werden 67 verschillende ERC-20 tokens, samen met grote bedragen aan Ethereum en Bitcoin verplaatst van deze crypto wallets naar adressen die gecontroleerd worden door een partij die werkt namens DVK.
In een typisch witwasproces worden ERC-20 tokens en altcoins geruild voor Ethereum bij DEXs.
Laundering proces visualisatie in Chainalysis Reactor: Gestolen ERC-20 tokens verwisseld voor Ethereum bij DEXs (Chainalysis)
In de volgende stap wordt Ethereum gemengd en geruild tegen Bitcoin op DEXs en CEXs.
Laundering proces visualisatie in Chainalysis Reactor: Gemengde Ethereum gestort op DEXs en CEXs om te ruilen voor Bitcoin (Chainalysis)
Uiteindelijk wordt Bitcoin gemengd en geconsolideerd in nieuwe portemonnees – waarna het wordt verzonden naar stortingsadressen bij crypto-to-fiat exchanges gevestigd in Azië.
Het witwasproces visualiseren: Bitcoin wordt gemengd, geconsolideerd in nieuwe portefeuilles, en gestort bij crypto-to-fiat uitwisselingsdiensten voor uitbetaling (Chainalysis)
Volgens het rapport werd meer dan 65% van de gestolen fondsen van de DVK in 2021 witgewassen via mixers, tegen 42% in 2020.
Chainalysis beschrijft het gebruik van meerdere mixers door de Democratische Volksrepubliek Korea als een “berekende poging om de herkomst van hun gestolen cryptocurrencies te verhullen, terwijl ze zich op fiat storten”.
Ondertussen nemen DPRK hackers hun toevlucht tot DeFi platforms zoals DEXs om “liquiditeit te verschaffen voor een breed scala van ERC-20 tokens en altcoins die anders misschien niet in geld kunnen worden omgezet.”
Het ruilen van deze crypto’s voor Ethereum of Bitcoin maakt ze niet alleen meer liquide, maar opent ook een grotere keuze aan mixers en exchanges.
Omdat ze niet-custodiaal zijn, verzamelen DeFi platforms vaak geen know-your-customer (KYC) informatie, waardoor hackers hun diensten kunnen gebruiken zonder dat hun tegoeden bevroren worden of hun identiteit bloot komt te liggen, aldus Chainalysis.
Unlaunhed funds stockpiling
Chainalysis heeft $170 miljoen aan lopende tegoeden geïdentificeerd – de gestolen fondsen van 49 afzonderlijke hacks in de periode van 2017 tot 2021 – die door Noord-Korea worden gecontroleerd, maar nog niet zijn witgewassen via diensten,” staat in het rapport.
Het rapport onthulde massale niet-gewassen tegoeden van wel zes jaar oud – ongeveer 35 miljoen dollar van de totale tegoeden van de DVK waren afkomstig van aanvallen in 2020 en 2021, terwijl meer dan 55 miljoen dollar afkomstig was van aanvallen in 2016.
Saldi aangehouden door DVK per jaar van aanvallen (Chainalysis)
“Het is onduidelijk waarom de hackers nog steeds op deze fondsen zitten, maar het zou kunnen dat ze hopen dat de interesse van de politie in de zaken zal afnemen, zodat ze kunnen uitbetalen zonder in de gaten te worden gehouden,” staat in het rapport, eraan toevoegend dat wat de reden ook is, “de lengte van de tijd dat de DVK bereid is om deze fondsen vast te houden, verhelderend is omdat het een zorgvuldig plan suggereert, geen wanhopig en overhaast plan.”
