Noord-Korea haalt op grote schaal geld uit cryptodiefstal om sancties te omzeilen. Cybergroepen zoals Lazarus richten zich op beurzen en DeFi-bruggen, vooral buiten Noord-Amerika en Europa. De aanvallen nemen toe sinds 2022 en leveren snel cash op voor het regime. Rusland en Iran kiezen vaker voor handelsroutes en schaduwnetwerken, terwijl Noord-Korea weinig legale export heeft en daarom hackt.
Noord-Korea kiest voor diefstal
Staatsgelinkte hackers van Noord-Korea richten zich op crypto-uitwisselingen, wallets en bruggen tussen blockchains. Zij gebruiken spearphishing en zwakke plekken in smart contracts, een soort zelfuitvoerend softwarecontract. Dit levert direct verhandelbare munten op, zonder tussenkomst van banken.
Deze aanpak past bij de positie van het land. Noord-Korea is vrijwel afgesloten van het wereldwijde financiële systeem en heeft weinig grondstoffen die het legaal kan verkopen. Diefstal van digitale activa is daardoor een van de weinige snelle inkomstenbronnen.
Blockchain-analysebedrijven zoals Chainalysis, TRM Labs en Elliptic schatten de buit in recente jaren op miljarden dollars. In 2022 lagen de opbrengsten uitzonderlijk hoog door zwak beveiligde DeFi-protocollen. In 2023 en 2024 verschuiven aanvallen naar beurzen, walletproviders en toeleveringsketens van software.
Rusland en Iran benutten handel
Rusland en Iran hebben andere opties om sancties te ontwijken. Beide landen beschikken over grondstoffen, scheepvaart en regionale banken in bevriende landen. Zij gebruiken kortingshandel, schaduwvloten en goudstromen, die meer schaal bieden dan crypto.
Crypto speelt voor deze landen vooral een aanvullende rol. Het gaat dan om betalingen aan tussenpersonen of het omzeilen van specifieke beperkingen. Grote staatsinkomsten blijven echter afkomstig uit olie, gas en metalen, niet uit digitale munten.
Voor Noord-Korea ligt dat anders, omdat het nauwelijks legale exportmarkten heeft en minder toegang tot logistiek en banken. De keuze voor hacks is daardoor rationeel binnen de beperkingen van het regime. Het risico ligt bij buitenlandse cryptoaanbieders en gebruikers die doelwit worden.
Op het moment van schrijven schatten meerdere analysebedrijven dat Noord-Korea-gekoppelde groepen in 2023 ongeveer 1 miljard dollar aan crypto-activa buitmaakten, na een recordjaar in 2022.
Lauwermethoden en tegenslag
Na een hack verplaatsen criminelen de buit snel via mixers, die transactiestromen door elkaar husselen. Bekende voorbeelden zijn Tornado Cash en Blender/Sinbad, die door de VS zijn gesanctioneerd. Ook worden cross-chain bruggen en zogeheten coin-swaps gebruikt om sporen te wissen.
De focus is verschoven naar snelle en goedkope netwerken zoals Tron met stablecoins als USDT. Die bieden hoge liquiditeit en lage kosten voor vele kleine transfers. Tegelijk bevriezen uitgevers zoals Tether soms adressen die op sanctielijsten staan.
Toezicht en opsporing maken stappen. Analyses met algoritmen en machine learning koppelen wallets, patronen en exchanges aan elkaar. Daardoor worden fondsen steeds vaker bevroren bij uitcashen via gecentraliseerde platforms.
Europese regels verscherpen toezicht
In de EU gelden naast sancties ook de AVG en de anti-witwasregels voor cryptodiensten. De herziene Transfer of Funds Regulation brengt de “Travel Rule” naar crypto: aanbieders moeten afzender- en ontvangergegevens meesturen. Dit moet het doorgeven van gestolen munten naar gereguleerde partijen bemoeilijken.
De verordening voor markten in crypto-activa (MiCA) treedt stapsgewijs in werking, met strengere eisen voor onder meer stablecoins. Dat vergroot toezicht op uitgevende partijen en reservebeheer. Samen met de komende Europese anti-witwasautoriteit versterkt dit de handhaving.
Voor Nederlandse aanbieders geldt de Wwft-toezichtpraktijk via De Nederlandsche Bank en meldplicht bij FIU-Nederland. Adres-screening tegen OFAC- en EU-lijsten en realtime transactiemonitoring zijn nodig om sanctierisico’s te beperken. Europol ondersteunt lidstaten steeds vaker met blockchainanalyse.
Nederlandse lessen uit Tornado Cash
De strafzaak tegen een ontwikkelaar van Tornado Cash in Nederland laat zien waar techniek en recht botsen. Een mixer is een softwaretool die transacties mengt, maar ook misbruik mogelijk maakt. De rechtbank oordeelde dat faciliteren van witwassen strafbaar kan zijn, ook zonder directe betrokkenheid bij elke transactie.
Voor de sector is de les dat “privacy by design” moet samengaan met misbruikpreventie. Denk aan filters tegen gesanctioneerde adressen en mogelijkheden voor gerechtelijk inzicht. Dit sluit aan bij de Europese lijn: privacy waar het kan, handhaving waar het moet.
Publieke- en private partijen investeren in betere detectie. Tools met kunstmatige intelligentie helpen bij het herkennen van ketenpatronen en risico-adressen. Toch blijven peer-to-peer handel en offshore beurzen een zwakke plek.
Gevolgen voor bedrijven en burgers
Cryptoaanbieders in Nederland doen er goed aan nu al te testen op Travel-Rule-naleving en dataminimalisatie onder de AVG. Monitor vooral stromen in USDT op Tron, cross-chain swaps en patronen die passen bij Lazarus-activiteiten. Leg vast hoe adressen worden geblokkeerd en fondsen worden bewaard bij vermoedens van sanctieschending.
Beleggers en organisaties moeten alert zijn op phishing, nep-updates en walletkloonwebsites. Gebruik hardware wallets van betrouwbare merken en verifieer url’s en contractadressen. Meld verdachte transacties direct bij de aanbieder en FIU-Nederland.
Beleid en techniek groeien naar elkaar toe. Strengere Europese regels, gecombineerd met betere algoritmen voor ketenonderzoek, maken doorverkopen lastiger. Dat dwingt Noord-Korea tot steeds complexere routes, met meer kans op fouten en bevriezingen.
