BitMEX ontmaskert crypto-aanval van Noord-Koreaanse hackers

De Noord-Koreaanse hackersgroep Lazarus is opnieuw in opspraak na een mislukte phishingaanval op BitMEX. Dankzij scherpe detectie wist de beurs de aanval vroegtijdig te blokkeren.BitMEX heeft een aanval van de beruchte Lazarus-groep weten af te slaan. De poging onthult opvallende fouten aan de kant van de hackers én waardevolle lessen voor crypto-beveiliging.
Wie is Lazarus? Profiel van een staatsgesponsorde hackersgroep
Lazarus staat wereldwijd bekend als een geavanceerde Noord-Koreaanse hackersgroep. De groep is in verband gebracht met grootschalige aanvallen op financiële instellingen, cryptobeurzen en overheden. Volgens inlichtingen werkt Lazarus met verschillende subteams die elk een eigen taak hebben. Waar sommige leden zich bezighouden met social engineering, richten anderen zich op geavanceerde malware en infrastructuur.
Lazarus wordt zeer waarschijnlijk gesteund door de Noord-Koreaanse overheid en is actief sinds minstens 2009. Ze zijn verantwoordelijk voor bekende aanvallen zoals de Sony Pictures-hack (2014), de $81 miljoen-roof bij de Bangladesh Bank (2016), en de wereldwijde WannaCry-ransomware-aanval (2017). De grootste en meest bekende is de zeer recente hack op cryptobeurs Bybit, waar bijna 1,5 milliard dollar aan crypto werd gestolen.
De groep bestaat uit gespecialiseerde subgroepen, waaronder APT38 voor financiële diefstal en AndAriel voor cyberspionage. Hun methodes combineren social engineering, spear-phishing, malware, backdoors en zelfs zero-day exploits.
Jonge hackers worden al vroeg gerekruteerd en opgeleid via Noord-Koreaanse universiteiten, met soms internationale stages in China of Rusland. De verkregen opbrengsten ondersteunen het Noord-Koreaanse wapenprogramma. Ondanks hun reputatie als geavanceerde dreiging, laat de recent onderschepte aanval op BitMEX zien dat zelfs zij operationele fouten kunnen maken.
BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT
At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.
His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5
— Arkham (@arkham) February 21, 2025
De aanval op BitMEX: werkwijze, techniek en detectie
In mei 2025 werd een medewerker van BitMEX benaderd via LinkedIn met een voorstel om te helpen bij een NFT/web3-project. Het verzoek bleek onderdeel van een phishingcampagne, waarbij de aanvaller toegang probeerde te krijgen tot interne systemen. De verdachte activiteit werd gemeld en onderzocht door het beveiligingsteam van BitMEX.
Uit technisch onderzoek bleek dat de aangeleverde GitHub-repository JavaScript-code bevatte die gebruikmaakte van eval() om externe scripts te laden—een typische werkwijze van Lazarus. Via een open Supabase-database werden verdere details blootgelegd: waaronder IP-adressen, tijdzones en hostnamen van de aanvallers.
Een opvallende fout was de aanwezigheid van een IP-adres in Jiaxing, China—een duidelijke OPSEC-fout die zeldzaam is voor Lazarus. Verder gaven tijdstempels aan dat de activiteit voornamelijk plaatsvond tijdens kantooruren in Pyongyang. Dit wijst op een gestructureerde werkcultuur binnen de groep.
BitMEX blocked a Lazarus phishing attempt disguised as an NFT collab. They called the tactics “unsophisticated,” citing sloppy methods and reused tricks.
Stay sharp out there. #CyberSecurity #Crypto pic.twitter.com/jVPbyQ8oGm
— TradeDucky (@tradeducky) June 2, 2025
Wat leert de cryptomarkt van deze mislukte phishingaanval?
Beveiligingsexperts zien de mislukte aanval als een wake-up call. Hoewel de aanval technisch minder verfijnd was, toont ze de voortdurende dreiging vanuit staatshackers. De kracht van BitMEX lag in snelle detectie, training van personeel en analyse van verdachte code.
Het incident onderstreept ook de waarde van transparantie en threat intelligence. Door het delen van Indicators of Compromise (IoC’s) en technieken helpt BitMEX andere platforms zich beter te beschermen. Blockchaintechnologie speelt hierbij een belangrijke rol: door transparantie en onveranderlijkheid maakt het monitoring en het herkennen van ongeautoriseerde activiteiten eenvoudiger.
Think twice before clicking that “Web3 collab” link!
Our security team just thwarted a Lazarus Group phishing attempt, exposing their tactics AND a major OPSEC fail.
We’re now on their tail, watching their screw-ups.
Stay safe, stay vigilant!
Read the full story:… pic.twitter.com/pgIBFh4ojb
— BitMEX (@BitMEX) May 30, 2025
BitMEX vs. Lazarus: een waarschuwing én overwinning voor de sector
De aanval op BitMEX door de Lazarus-groep toont aan dat geen enkele partij immuun is voor cyberaanvallen. Toch laat de succesvolle verdediging zien dat goede voorbereiding en transparantie het verschil maken. Het incident biedt waardevolle lessen voor de hele cryptomarkt, van gebruikers tot exchanges.
De dreiging blijft bestaan, maar deze case laat zien dat ook geavanceerde aanvallers als Lazarus te stoppen zijn.
Met meer dan 60 chains gesupport kan je al je main crypto coins aanschaffen via Best Wallet.
Best wallet - betrouwbare en anonieme wallet
- Meer dan 60 chains beschikbaar voor alle crypto
- Vroege toegang tot nieuwe projecten
- Hoge staking belongingen
- Lage transactiekosten
