Aan Noord-Korea gelieerde hackers waren in 2025 verantwoordelijk voor ongekende diefstallen van cryptocurrency, waarbij blockchain-analysebureaus meldden dat actoren die met het regime gelieerd zijn, naar schatting meer dan 2 miljard dollar aan crypto-activa in het jaar hebben gestolen. Deze activiteiten vormden de grootste jaarlijkse opbrengst die aan Noord-Korea wordt toegeschreven in de cryptosector en zetten een langere termijn patroon van door de staat geassocieerde cyberdiefstal voort die wordt gebruikt om inkomsten te genereren.
Analyse van meerdere blockchain-inlichtingenorganisaties toonde aan dat Noord-Koreaanse cyberactoren zich richtten op een mix van grote beursinbreuken en andere waardevolle compromitteringen. Een van de belangrijkste van deze gebeurtenissen was een grote exploit van de cryptobeurs Bybit in februari 2025, waarbij aanvallers controle kregen over privésleutels en kort na uitvoering grote hoeveelheden digitale activa terugtrokken. Deze enkele diefstal, met een waarde van ongeveer 1,5 miljard dollar, behoorde tot de grootste individuele cryptoovervallen ooit geregistreerd en was goed voor een groot deel van de bekende gestolen waarde van het jaar.
Onderzoekers documenteerden ook dat Noord-Korea’s aandeel in wereldwijde cryptodiefstal aanzienlijk was ten opzichte van andere dreigingsactoren. In 2025 werd tot 60–76% van de totale gestolen waarde van gecentraliseerde diensten toegeschreven aan actoren die verbonden zijn aan de Democratische Volksrepubliek Korea (DPRK), volgens schattingen uit brancherapporten. Dit patroon toonde zowel de strategische targeting van gecentraliseerde beurzen als de schaal waarop deze operaties werden uitgevoerd in vergelijking met andere kwaadaardige groepen.
De bredere context van deze activiteiten toont een verschuiving in tactiek en schaal. Elliptic, een blockchain-inlichtingenbedrijf, meldde dat de cyberoperators van Noord-Korea in 2025 meer dan 30 afzonderlijke hacks uitvoerden op beurzen en andere cryptodiensten, waarmee hun totale totaal aan gestolen crypto sinds 2017 ruim boven de 6 miljard dollar komt. Deze diefstallen in 2025 zouden worden veroorzaakt door een combinatie van technische compromittering van de uitwisselingsinfrastructuur en sociale engineering gericht op servicebeheerders en bevoorrechte gebruikers.
Een deel van de operationele strategie bestond uit het targeten van grote bewaar- en handelsplatforms waarbij één enkel compromis van bevoorrechte toegang kan leiden tot extreem hoge verliezen. Door te mikken op gecentraliseerde diensten met aanzienlijke reserves, konden aanvallers de financiële impact van elk incident maximaliseren. Analisten merkten op dat deze focus op geconcentreerde cryptoreserves bijdroeg aan het onevenredig grote aandeel van de verliezen in 2025 dat gepaard gaat met Noord-Korea.
Naast grote platformlekken waren er ook meldingen van kleinere maar opmerkelijke incidenten die werden toegeschreven aan DPRK-gelieerde hackers. Zo meldden waarnemers uit de industrie en Zuid-Koreaanse autoriteiten onderzoeken naar diefstallen van tientallen miljoenen dollars aan cryptocurrency van diensten zoals Upbit, waar private key-compromitteren of abnormale opnames eind 2025 aan het licht kwamen, waarbij wetshandhaving tactieken en infrastructuur aanhaalden die consistent zijn met Noord-Korea-gerelateerde groepen.
Uit gegevens uit de industrie blijkt dat 2025 niet alleen een recordjaar was voor Noord-Koreaanse cryptodiefstal in absolute cijfers, maar ook een periode waarin de gebruikte methoden systematischer werden, wat een geïndustrialiseerde aanpak weerspiegelt om inkomsten te genereren via een combinatie van waardevolle datalekken, sociale engineering en geavanceerde witwassen van gestolen activa. Blockchain-analisten merkten op dat gestolen fondsen vaak via complexe mix- en bridgeingdiensten gingen, gevolgd door on- en offline conversie, wat illustreert hoe Noord-Koreaanse cryptodiefstaloperaties zowel technisch als operationeel zijn volwassen geworden.
De financiële gevolgen van deze diefstallen gaan verder dan de directe verliezen zelf. De opbrengsten van blockchaindiefstallen zijn in verband gebracht met pogingen van de Noord-Koreaanse regering om internationale sancties te omzeilen en staatsprioriteiten te subsidiëren. Onafhankelijke analyses en monitoring door financiële inlichtingenbedrijven hebben patronen van witwassen en cross-chain transfers vastgesteld die aansluiten bij bekende inkomsten van de DPRK-cybercriminaliteit, wat de bredere geopolitieke gevolgen van de dreiging benadrukt.
Gezamenlijk laten de gegevens van 2025 zien dat Noord-Koreaanse cyberactoren hun positie als dominante kracht in het landschap van cryptodiefstal hebben versterkt. Hun activiteiten droegen een groot deel bij van de ongeveer 3,4 miljard dollar aan totale gestolen crypto-activa in de hele sector, waarbij het aandeel aan de DPRK aanzienlijk groter was dan dat van andere staatsgebonden of criminele groepen dat jaar.
De voortdurende evolutie van deze activiteiten onderstreept de uitdagingen waarmee exchange-operators, bewaarders en individuele houders worden geconfronteerd bij het beschermen van digitale activa. Naarmate de technische en economische verfijning van aanvallers toeneemt, blijven de cyberbeveiliging van cryptoplatforms en de bescherming van privésleutels en administratieve toegang centrale zorgen voor de sector.